标签: 华为

Android 0day 漏洞影响 Google、小米和华为等品牌手机

Google 安全团队 Project Zero 的研究人员近日披露了一个活跃的 Android 漏洞,该漏洞影响了一些受欢迎的设备,其中包括 Pixel 2, 华为 P20 Pro 和红米 Note 5 等。 Project Zero 发表的帖子显示该漏洞是在上周被发现的,当时攻击者正在利用它完全控制 Android 设备。帖子还指出,要利用此漏洞无需或只需最小自定义的 Root 权限即可。 团队还列出了一些受影响的运行 Android 8.x 或更高版本的设备: 搭载 Android 9 或 Android 10 preview 的 Pixel 1, 1 XL, 2 和 2 XL(Pixel 3 和 3a 设备不受攻击) 华为 P20 红米 5A 红米 Note 5 小米 A1 Oppo A3 Moto Z3 Oreo LG 手机 三星 Galaxy S7, S8, S9 …… 对此,Google 表示即将发布的 Android 10 月安全更新将修复该漏洞,并已通知 Android 合作伙伴推送更新,安全补丁可在 Android Common Kernel 上获取。 据了解,该漏洞早已在 Android 内核的早期版本(3.18, 4.4 和 4.9)中被修复,但现在却再次出现了。事实上该漏洞最早源于 Linux 内核,早在 2018 年初就被发现并修复,但出于未解释的原因,补丁没有整合进 Android 的安全更新。 安全研究人员介绍,攻击者无法使用远程代码执行(RCE)来利用此漏洞。但是,如果我们从不受信任的来源安装应用程序,则攻击者可以通过这个过程来利用漏洞。如果攻击者将其与 Chrome 浏览器中的漏洞进行配对以渲染内容,则他也可以通过此来利用该漏洞。 为此,他们建议用户不要从非可信来源安装应用程序,并最好使用其他浏览器,例如 Firefox 或 Brave,直到问题解决为止。 另外,安全研究人员还推测该漏洞已被以色列公司 NSO 使用,该组织是一个基于 Isreal 的组织,它向政府出售工具以利用 iOS 和 Android。而 NSO 的代表则否认了这一说法。     (稿源:开源中国,封面源自网络。)

网络安全专家:美国将华为作为目标只是一种贸易政治

据外媒报道,人工智能驱动网络安全公司Darktrace技术总监Dave Palmer日前指出,美国在国家安全问题上特意挑出中国华为技术有限公司的做法纯粹是出于贸易政治目的。Palmer认为这一指控有点荒唐,“比如你在军队里且正在制造一枚导弹,你想要……确保你对自己的供应链有着充分的信心。” 他继续说道:“但在消费技术方面,我们跟世界各地的公司合作。考虑到供应链的互联性,即使像美国这样的单个国家避开了华为,这家公司的技术也仍旧会在生态系统的某个点上存在。” 美国方面认为华为有能力监视客户,为此它正在积极游说其盟友将华为排除在各自的5G网络之外。 “为什么智能手机或笔记本电脑可以在中国制造,而5G设备不行?”Palmer说道。他指出,任何技术都有数十亿行代码,而在这当中几乎不可能找出安全漏洞。     (稿源:cnBeta,封面源自网络。)

鸿蒙安全吗?余承东:微内核单独加锁 安全达最高级

8月9日下午消息,华为开发者大会今日举行,华为消费者业务CEO余承东正式宣布发布自有操作系统:鸿蒙。 鸿蒙系统安全吗?余承东称,鸿蒙采取微内核,天然无Root,细粒度权限控制从源头提升系统安全。 具体而言,安卓系统有Root权限,而鸿蒙无Root,“微内核可以把每一个单独枷锁,不可能一个钥匙攻破所有地方”,余承东说,外核的相互隔离更加安全也更加高效。 “从全球最权威的安全机构评测看,现在外面的操作系统只能达到二三级,而我们的系统能达到5和5+最高级别。这是最高级别的安全OS”,余承东说道。   (稿源:新浪科技,封面源自网络。)

英国欲通过加强通信安全控制来减少 5G 风险

据外媒报道,在人们对中国科技巨头公司华为参与5G供应所带来的安全风险持续感到担忧的时候,英国政府发布了一份针对该电信供应链的评估报告。报告得出的结论是,可以通过加强网络安全方面的政策和监管力度来消除人们的担忧。 英国数字大臣Jeremy Wright在议会给出的声明中表示,政府希望在对华为做出决定之前发布这份报告结论来让其国内的运营商可以为计划引入适用于所欲供应商的更严格标准做好准备。 Wright指出,该框架的基础将是对电信运营商提出一套新的《电信安全要求》,它将由Ofcom和政府监管。 另外他还表示,政府计划尽早立法进而为监管机构提供更加强大的权力以此来执行即将出台的《电信安全要求》并为政府建立更强大的国家安全保障权力。 报告显示,英国政府正在考虑对未能达到严格安全标准的运营商实施GDPR级别的惩罚。   报告还呼吁供应链内部应展开竞争并支持多样性。Wright说道:“如果我们要推动创新、降低对单个供应商的依赖风险,就需要这种竞争和多样性。”对此,政府将奉行有针对性的多元化战略、支持网络中构成安全和弹性风险的新参与者的增长。 “我们将推动支持新进入者和小公司增长的政策,”此外还呼吁安全初创企业也将注意力转向5G。 Wright还补充称,英国政府将寻求、吸引可信且成熟的企业进入英国市场,并表示充满活力和多样化的电信市场对消费者和国家安全都有好处。 此外,Wright的声明还提到,应该对英国电信构成更显著重大安全性和弹性风险的特定类型供应商的供应链采取额外控制 。不过“额外控制”听起来似乎不像是彻底禁止的委婉说法。   (稿源:cnBeta,封面源自网络。)

美国最快 2 周内批准对华为出口许可证

截至今天,华为被美国商务部列入“实体清单”已经60天了,也就是说对华为的制裁持续了整整2个月,不过G20会谈之后美国方面宣布部分解禁,美国企业可以继续向华为出售产品,但只限于不影响美国国家安全的产品。放松制裁之后,美国商务部宣布美国企业可以申请向华为出口的许可证,只是之前美国政府部门依然没有明确具体规则。 上周末,美国政府的高级官员告知制造业代表(针对华为出口的)许可证将在未来2周到4周内发放,不过这名官员依然没有提及明确的细则,到底哪些产品是可以出口的,哪些不可以出口。 美国总统在G20会谈之后表示解禁华为只限于不影响美国国家安全的产品,而美国家经济委员会主席拉里·库德洛他表示解禁即将生效,商务部将会为需要解禁的公司提供一些许可证。 对于解禁范围,他强调华为仅可以购买“其它国家同样广泛销售的美国芯片产品”,否认这是“大赦”,表示国家安全仍然是最重要的考虑因素。 对于解禁,华为方面之前也表达了官方态度——在上周的2018年可持续发展发布会上,华为董事长梁华表示“美国不应该只是放松管制,应该取消实体清单禁令。” 此外,美国部分芯片公司早前也找到了在不违反实体清单限制的清下对华为恢复供应的方式,外媒报道称,包括Intel及美光在内的多家美国芯片公司已经找到了可以绕过美国限制从而继续对华为出口技术及产品的方法。 根据爆料,这些公司很可能是利用了美国之外的工厂,由于半导体产业的全球供应链特殊性,Intel、美光等公司会在美国本土或者其他海外国家生产芯片,然后送到另外的国家封装,最后的生产地并非美国,因此可以不算做美国制造。   (稿源:cnBeta,封面源自网络。)

华为:和运营商建 1500 多张网络 没证据证明设备有后门

7月12日上午消息,华为发布《2018可持续发展报告》称,过去30年,华为和运营商一起建设了1500多张网络,在全球170多个国家和地区,为30亿人提供网络服务。事实证明,华为为客户建设的网络没有大面积的网络瘫痪,没有恶性的网络安全事故,也没有任何证据证明华为的设备有后门,华为的产品一直在行业中保持着良好的安全运行记录。 华为报告声明,迄今为止,华为没有任何法定义务在华为设备中或者允许他人在华为设备中安装“后门”,也没有任何法定义务为任何人收集情报信息。未来也会严格按照法律赋予的权利和程序来处理这样的诉求,华为以客户为中心,并致力于保护客户或者用户的合法权益不会受到侵害。 华为表示,已经构建起完善的网络安全保障体系,并积极地通过外部独立第三方安全机构对华为的产品进行认证。报告还提到,近期第三方独立评估机构CFI颁布的报告显示,华为设备运行的稳定性和可靠性连续三年高于行业平均水平。   (稿源:新浪科技,封面源自网络。)

美国商务部发出临时许可 华为 90 天内可继续向手机发送软件更新

在获得美国商务部的临时许可后,华为将在未来三个月内继续向其手机发送软件更新,尽管此前的贸易禁令依旧有效。路透社报道称,该许可立即生效,并将于8月19日到期。美国商务部授权华为采取行动“向公众现有的华为手机提供服务和支持,包括软件更新或补丁。”该许可还将允许华为维护其现有的网络设备,并接收安全漏洞修补。 这意味着此前美国政府对华为的禁令被延迟90天实施,但是需要留意的是,美国商务部仍然禁止华为公司购买美国企业生产和销售的零部件以生产新产品。 上周,特朗普政府宣布国家紧急状态,允许其政府部门阻止被视为国家安全风险的技术交易。不久之后,政府将华为列入黑名单,禁止任何美国公司未经政府许可与中国电信巨头华为开展业务。 谷歌随后宣布将不再为华为设备提供Android服务,尽管他们表示该公司可以继续使用开源版本。谷歌补充说,这些服务也将在现有的华为设备上继续被支持。 “临时通用许可证允许运营商有时间作出其他安排,以确定目前依赖华为设备提供关键服务的美国和外国电信提供商的适当长期措施,”商务部长威尔·伯罗斯在一份声明中说。 “简而言之,这个许可将允许现有的华为移动电话用户和农村宽带网络继续运营。” 特朗普政府的打击行动对华为的全球业务造成了相当大的不确定性。但在收到Android停止支持的消息之后,该公司在一份声明中称,他们将继续为已经销售给客户手中的设备提供更新。 “我们将继续构建一个安全可持续的软件生态系统,以便为全球所有用户提供最佳体验。”   (稿源:cnBeta,封面源自网络。)

华为决定起诉美国政府 称其涉嫌入侵华为服务器

华为今天在深圳总部宣布,正起诉美国政府,并要求对禁止使用公司设备的政策进行合宪性审查,这是华为在美国市场持续战斗中的最新进展。该诉讼指控国会去年以国防开支计划的一部分违宪地捆绑对华为实施的惩罚。国会通过立法阻止中国制造的电信设备在联邦网络中使用的规定,阻止了主要政府承包商使用华为设备,该措施主要针对华为和中兴,以及其他一些中国公司。 华为本次起诉的对象是去年美国国会通过、并由白宫签署的“国防授权法案”中的一项条款。 华为表示,该措施违反了制定“剥夺公权法案”的法律标准,同时还指控政府侵犯了公司的正当程序权,因法案中的条款对华为构成了明显的 “未审先判”,而美国的宪法则禁止美国国会通过这样的法律。 华为在深圳总部发布会上同时向外界透露,有证据表明美国政府涉嫌入侵华为服务器。 美国官员多次将华为称为潜在的安全威胁,并称该公司可能被用作间谍工具。华为一直否认这种可能性,并称美国未能提供其担忧的证据。 近年来,总部设在俄罗斯的网络安全公司卡巴斯基实验室也美国政府认为其存在潜在的间谍活动为由而受到阻拦,该公司也曾提起了类似华为的诉讼,但尚未成功。不过华为要求法院裁定美国目前的政策违宪,这与卡巴斯基的案例并不相同。 作为全球最大的电信设备供应商,华为面临着立法者和情报官员对其运营的严格审查,这一切似乎没有尽头。特朗普政府一直在考虑一项进一步限制华为产品销售的订单,美国也一直在敦促盟国放弃该公司的设备。     (稿源:cnBeta,封面源自网络。)

华为呼吁各国政府:建立一套统一的网络安全标准

新浪科技讯 北京时间3月5日晚间消息,据路透社报道,华为今日敦促各国政府、电信业和监管机构共同努力,制定一套统一的网络安全标准。 华为轮值董事长胡厚崑发出的这一呼吁,正值这家全球最大的电信设备制造商在布鲁塞尔开设一家网络安全中心之际。该网络安全中心允许其客户和政府测试华为的源代码、软件和产品解决方案。 此外,华为在英国、波恩(德国)、迪拜、多伦多和深圳也设有类似的安全中心。 胡厚崑在新闻发布会上称:“当前的事实是,无论是公共机构,还是私营机构,对这个问题都缺乏基本的共识。因此,不同的利益相关方有不同的期望,也没有一致的责任。总体来说,该行业缺乏一套统一的安全技术标准和验证系统。” 胡厚崑认为,一个共同的标准,法律和技术上的验证,将有助于在行业建立起新任。 胡厚崑周一还会见了欧盟委员会(EC)数字业务主管安德鲁斯·安西普(Andrus AnSIP)。胡厚崑称,他们讨论了按照GDPR的思路制定网络安全标准的可能性。 GDPR是欧盟去年通过的具有里程碑意义的数据保护法,它让欧洲人对自己的在线信息拥有更多控制权,并适用于所有与欧洲人有业务往来的企业。     (稿源:新浪科技,封面源自网络。)

郭平:华为绝没有也从没有后门漏洞 合规是责任

新浪科技讯 2月26日下午消息,华为副董事长、轮值董事长郭平在2019 MWC主题演讲时表示,华为绝对没有、也从没有所谓的后门漏洞,更不会让任何人在基础设施上找漏洞,这是华为的责任。 郭平表示,5G时代,企业、运营商、技术提供商以及政府都应承担责任。作为技术提供商的华为而言,最大的责任是合规。此外,要在运营商的层面注重安全性,承诺的必须兑现。 “华为绝对没有,也从没有后门漏洞,不会让任何人在我们的基础设施上找漏洞,这是我们的责任”,郭平说,5G网络应该存在边界,监管者应该保证所有供应商的安全使用环境。 不仅如此,作为政府也必须要统一标准,“华为一直以来都支持维护3GPP标准,但如果没有政府部门的支持,一切都不可能实现。政府部门真正有权利,让标准得到统一和实行”。所以,政府和运营商应该一起努力,让网络更加安全。 “华为在过去13年都有非常好的安全历史,还有最好的技术,请大家选择华为”,郭平说道。 早些时候,郭平曾公开表示,华为在全球5G领域已取得领导地位,领先竞争对手整整一年。     (稿源:新浪科技,封面源自网络。)