後門變化多端

世界進入AI新時代,誰掌算力及輸入就是贏家。算力繫於晶片能力,而輝達是龍頭,其針對AI開發晶片效能領先業界。晶片是中共科企的軟肋,較早前便傳出Deepseek利用華為晶片訓練出現問題,要從新利用輝達晶片訓練。為了減低中共威脅,高階AI晶片已被納入美國出口管制名單。早前美國宣布解除輝達輸出H20晶片的禁令,黃仁勳更親自到訪中國並獲得禮遇,但人一走即中「回馬槍」。中共網訊辦發聲明,指輝達H20晶片存在漏洞與後門安全風險,並要求提供證明資料,同時向企業施壓停止使用。中共喉舌央視配合輿論戰,指揮達晶片有追蹤定位及遠端關閉技術,可強制關機、癱瘓通訊及竊取訊息云云。輝達則否認晶片有如此功能,並強調這些不是構建可信系統的方式。這邊廂中共指外國晶片有後門,西方國家早已有大量報道來自中共的硬件及軟件有後門:華為通訊設備、海康威視、大疆無人機、TPLink路由器、手機臃腫軟件、隱藏指令的軟件及開發包、物聯網裝置、藍牙裝置、智能車、太陽能組件等皆在其中。其實「後門」一詞存在很多誤解。後門的技術定義基本上是指一種隱藏機制,允許未經授權的訪問或繞過安全措施進行操作。但其實後門變化多端,即使沒有隱藏機制亦可演化成後門。

 

認清五類後門運作

要控制風險,首先要理解後門運作。筆者認為後門分五類。第一類是刻意製造且不告之。例如今年六月路透社報道,安全網絡專家於中共企業提供的太陽能電網逆變器中發現完全沒有紀錄在技術文檔中的無線通訊系統,而且是一個強制切斷開關(註1)。一些中國大陸牌子的手機出廠韌體內包含各種竊取私人敏感資料的功能(註2)。第二類是明顯且不能解釋的安全漏洞。例如筆者前期文章《你手機內有否這些危險軟件?》拆解了多個來自中共企業網頁及軟件,既不使用行業標準,又帶著各種低級加密漏洞。第三類利用現有機制製造新漏洞。這通常是利用更新韌體、作業系統或軟件時加入或取得額外入侵性權限。例如21年TP-Link路由器韌體更新時忽然開啟之前關掉的8043埠,容許遠端執行,大幅增加被入侵的風險,至今漏洞仍被大舉利用(註3)。第四類是供應鏈攻擊。即使軟硬件本身安全,不過在供應鏈風險控制存在漏洞。18年彭博社報道中共特工在Supermicro主板中植入間諜晶片(註4)。BLU手機將更新外判給上海Adups,結果韌體被增添各種竊取資訊功能(註5)。有些軟件用了第三方不穩妥的軟件開發包,筆者《防止軟件內SDK侵犯私隱》文章詳細披露來自中國大陸的Jpush SDK如何竊取資訊。最後一類屬非故意的安全漏洞,於被發現後及修補前的空窗期被用作後門。21年中共強制企業上報安全漏洞。微軟報告直指中共利用上報機制支持其有關的黑客組織利用漏洞攻擊(註6)。

(ShutterStock)
(ShutterStock)

應對後門風險有法

除非硬件完全與外界隔絕,否則後門風險必然存在。從技術上審視硬件有否後門不切實際,要用就只有一個「信」字,但仍可從多個方面考慮硬件是否可信,包括查核其根本來源,產地是否來自極權國家,是否來自受政權操控的企業,該品牌是否在國際上信譽良好及有一定品牌價值。一般情況而言,國際大牌子的高端晶片設計流程極之複雜,且有多個監管程序監控程序,除非全面串通,發生上述第一二類的風險甚低。請留各類硬件例如電腦周邊、手機、路由器、藍牙設備、Wi-Fi設備、物聯網設備等,切忌貪平,隱藏代價可能極貴。請思考你的硬件需求,例如一把風扇一盞燈,加添物聯網功能風險明顯大於利益。第三四類風險則經常發生。廠商韌體更新程序是攻擊目標。所以你必須知道硬件更新的程序。對於外判更新必須查清楚提供服務者的背景。若用戶屬於高風險,可考慮將更新改成手動,先檢查並確保更新可信,核對更新包後才安裝。若你有特別風險要求,你需要考慮利用開源系統的單版電腦及路由器,甚至需要將單板電腦與互聯網聯繫切斷,利用其它途徑傳輸資料。第五類風險避無可避,只能多加留意相關信息。若你有一定專業知識,可加防火牆防硬件。其實世界亦開始醒覺,正制定新的協議,分享這些敏感漏洞資訊時避免落入黑客或極權手中(註7)。

選擇及管控硬件不可不慎。賊人固然要防,同時亦要小心賊喊捉賊。後門如同間諜,有專職,有被收買,最邪惡的卻是利用第三者,而被利用者還懵然不知。筆者將另文分析。◇

註:

1. https://www.reuters.com/sustainability/climate-energy/ghost-machine-rogue-communication-devices-found-chinese-inverters-2025-05-14/

2. https://arxiv.org/abs/2302.01890

3. https://nvd.nist.gov/vuln/detail/CVE-2023-1389

4. https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies?srnd=2018-the-big-hack

5. https://thehackernews.com/2016/11/hacking-android-smartphone.html

6. https://blogs.microsoft.com/on-the-issues/2022/11/04/microsoft-digital-defense-report-2022-ukraine/

7. https://www.bloomberg.com/news/articles/2025-08-20/microsoft-curbs-early-access-for-chinese-firms-to-cyber-flaws

 

 

----------------------
【新】📊 每周財經解碼
https://tinyurl.com/2asy8m4p
🔑 談股論金
https://tinyurl.com/yc3uda7e
----------------------
【不忘初衷 延續真相】
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores

🔔下載大紀元App 接收即時新聞通知:
🍎iOS🤖Android