繼上一篇專欄文章「沒美國施壓,這些國家都差點用華為5G設備,看懂華為5G霸權崛起的3大關鍵」,許多讀者都在問我:最近新聞都在說使用者資料會被上傳到中國伺服器,華為到底有沒有資安疑慮?

最近華為資安風波也在台灣鬧得沸沸揚揚,工研院開了第一槍,公告機關內禁用華為設備、接下來政府各局處紛紛研擬禁用華為,但也有另一派人馬質疑政府的資安作為,認為是惡意阻擋市場正常競爭,許多知名人物也相繼發言。

對於這項議題,網路上雙方不停論戰,但終究吵不出個結論── 因為誰也拿不出決定性的證據,而客觀上也不存在決定性的證據,成為一門無解的懸案。

在贊成禁用華為的一方,許多專家跳出來表示:「華為的確有資安風險,它的商業模式與其他的智慧型品牌不同,可能為政治服務,而我們沒有辦法驗證其安全性,保險起見,台灣的政府機關應該要禁用華為設備與手機」。

反對的論調則為:「目前沒有確定的證據證明華為的設備會偷傳機密資料回中國伺服器,也無法證明華為會提供資料給政府,基於無罪推定的原則,在無法證明華為的資安風險以前,禁用華為的產品是惡意扭曲市場競爭。」

風波已經持續延燒了一個多月,兩派人馬誰也無法說服誰,華為的資安問題為什麼吵這麼久? 原因在於沒有人能提出一個決定性的證據,證明華為設備確實存在資安風險,會將機密資料回傳中國伺服器。

這邊先聲明一下,我不是資安專家,也沒有寫過相關論文,僅僅是利用公開資料嘗試整理出一篇文章探討華為的資安風險為什麼無法被驗證,才導致網路上的論戰如此激烈,純粹只是知識性探討,大家參考就好。

事實上華為的資安議題是一個無解的問題,永遠也吵不完,因為華為設備的「資安疑慮」這件事情驗證成本太高,要百分之百確認華為的資安風險幾乎是不可能的事情,只能由「使用者是否信任華為」來進行主觀認定。

今天這篇文章的重點不在於華為是否有資安疑慮,而是討論「為什麼華為的資訊安全性無法被驗證」,以下我大概列出兩點試著解釋,如果有錯,還請各位指正:

華為的軟體程式碼不可能開源,沒辦法從底層驗證安全性

不論是智慧型手機還是基地台設備,在沒有辦法取得設備程式碼的情況下,外部人士只能測試「該軟體是否能成功執行特定功能」,而無法檢驗「該軟體全部的功能」。

這樣說可能有點模糊,舉個不太精準的例子,假設今天我們取得一部只有螢幕且看不到外觀的智慧型手機,上頭僅預載了電話、照相及Wi-Fi連線三個應用程式,沒有額外附上任何規格及說明文件,而且我們也無法對這部手機進行拆解或是任何修改動作。

如果要了解這部手機的功能,實際上我們能做的事情僅止於測試「手機能不能成功打電話」、「手機照相功能是否正常」或是「手機Wi-Fi連線有沒有問題」這三項功能,以確保這些功能的運作正常。卻沒有辦法測試出「該手機全部的功能」。

舉例來說,手機可能另外具備藍芽、NFC或是無線充電的額外功能,由於沒有提供管道,我們也無從開啟這些程式,這些功能也就沒有辦法被檢測出來,除非你擁有這台手機所有的研發資料。

為了瞭解這部手機,我們可以要求廠商把這部手機所有的研發資料交出來給我們審核,這麼一來就能了解這台手機的底層構造、參數以及一切技術細節,但這等於要把廠商的商業機密全部告訴我們,任何人一旦取得了這些資料,都可以在輕易複製出完全相同的手機,將導致廠商損失慘重。

華為的設備也是同樣的道理,除非華為把手機軟體的程式碼全部交出來,也就是將程式碼開源,否則我們根本無法驗證其安全性,即使嘗試抓取其傳送的資料,但這些資料都經過加密,無法被輕易破解,無法構成資安風險的證據。

另一方面,我們也不可能要求華為交出設備的程式碼,如果華為把程式碼交出來,等於自家的技術全部外洩出去,各家廠商把這些程式碼複製貼上、再修改一下就能直接使用,由於不需要研發成本,這些廠商能以超低價流血競爭,那麼華為的智慧型手機業務也不用做了。

華為必須為設備提供韌體更新,每一次更新都需要重新驗證其安全性

即使華為把程式碼全部開源,我們能夠拿到所有的底層資料,但我們仍然無法確保它的安全性。為什麼? 因為華為能夠透過遠端更新為設備提供升級,而每一次升級都會改變設備的程式碼,產生偷偷添加回傳功能的疑慮,為了確保百分之百安全,每當華為軟體進行升級,負責檢測的團隊需要重新再執行一次完整分析。

「要測試一行程式碼,必須寫十行程式碼來測試它」,如果華為每一次更新都需要完整分析其程式碼,這將是一件非常耗費人力跟時間的工作,單次不可能在短短幾週完成,實務上需要幾個月來進行分析。

然而上一版的程式碼安全性還沒分析完,短短幾天內華為可能為了修補漏洞或是改善其軟體性能,釋出新一版的升級,分析團隊不可能跟上更新的速度,如果網路設備出現重大漏洞,或許可以要求華為暫停更新,等待安全性驗證完成再進行,但分析完都過了好幾個月,這段時間設備或許有必要停機,會直接導致運營商損失商譽及營收── 如果政府要求企業在完成安全性驗證前不能更新設備,等同於禁止企業採購華為設備。

總結來說,要驗證華為確實不存在資安風險並不可行,首先我們無從得知它的底層架構,便無法徹底清查其安全行疑慮,商業上也不會有任何一家公司願意把自家的技術全部交出來。 設定極端一點的狀況,即使我們取得華為全部的程式碼,只要華為能夠透過遠端更新,檢測進度不可能追上更新的速度,無法確保該設備是隨時百分之百安全,但相對的,我們也無從證明華為的設備具有資安風險。

與其說是客觀資安疑慮,不如說是主觀信任問題

因此問題就變成:「因為廠商無法證明其安全性,我們自己也無法驗證,為了安全起見,還是不要使用該廠商的商品」;以及另一派的說法「我們無法證明廠商的商品確實存在風險,為了不冤枉廠商,不應該禁用該公司的商品」。

既然沒辦法驗證華為的資訊安全問題,是否要禁用華為的議題便回歸到「使用者是否信任華為」。

如果你是聰明的消費者,你不了解也不信任華為,又無法確認資安的風險,而這項產品可能會影響你的生活,不要採用這項產品才是上策;但如果認為要證明華為的確存在資安風險才要禁用,其實等同於你信任華為的產品── 整個議題只存在於「使用者是否信任華為」這個主觀條件,其他客觀條件並沒有辦法被驗證。

這邊還是要澄清一點,目前所有智慧型手機品牌或是應用程式都會將資料回傳至自家的伺服器,其中以Google(Android作業系統)或是Facebook獲得的數據量最大,其中Google更擁有大部分人的所有資料,從歷年的位置、信箱、帳號密碼以及瀏覽紀錄,幾乎管理了消費者的人生資訊,但這間公司取得數據的用途在於解析更精確的消費者行為或是偏好,以投放更精準的廣告來增加收益。

市場上不只有中國的手機才會進行資料回傳,其他歐美與日本品牌的智慧型手機也會將手機資料回傳,差異只在數據被回傳到哪一個國家的伺服器、被哪一家公司擁有。

此外,小米手機同樣也屬於中國品牌,手機也確實會將資料回傳至小米位於中國的伺服器,也有機會被要求交出數據,在這一次風波中卻安然無事,說明華為這間企業明顯是不被信任的。

回傳資料這項動作是否具有風險,必須依據「誰的資料」以及「取得資料的人是誰」,對於一般大眾而言,影響可能不大,但對於特定重要人士,這項標準就必須被放大嚴格檢視,是否禁用還是需要依據當時情況判定。

通訊類APP也存在潛在資安風險

值得一提的是WeChat之類的APP,潛在的資安風險更大,如果打開Google Play的應用程式頁面,可以發現WeChat幾乎要求取得手機上所有的重要權限,從手機的聯絡人、電話、位置到擁有完整的網路存取權,詳細的項目可以參考下圖:

如果安裝了這些應用程式,無論是使用華為手機還是其他品牌的智慧型手機,設備內的資料都是一覽無遺。有在使用WeChat的使用者應該知道,微信最方便的地方在於能同時於電腦、手機以及平板多裝置同步訊息、檔案以及連結等等資料。

而這些資料一定是儲存在騰訊伺服器中,當使用者從另一個裝置登入後才與騰訊伺服器進行同步,等同於微信把你手機大部份的資料訊息自動傳送到伺服器中,直接由騰訊管理使用者的資料,比起華為手機或是設備,APP應用程式的潛在資安風險更應該被列入考量,因為不限機型。

許多人憂心華為的手機會將他們個人隱私回傳至中國,然而目前華為手機的售價並不便宜,大多數機型定位在昂貴的高階手機,並沒有出現大量補貼手機價格以取得用戶資料的現象,而且不得不承認華為手機在硬體及軟體設計上,已經是Android手機的前段班,尤其是Mate及P20系列卓越的拍照表現,成為許多人最喜愛的手機品牌。

個人隱私是一項主觀的權利,對於是否要將個人資料交給華為,還是要交由消費者本身決定,消費端市場沒有理由禁售華為手機,但如果是敏感的機關單位就必須謹慎考量其風險了。

責任編輯:陳慶徽
核稿編輯:洪婉恬