由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
Stock版 - 5700万中国产刷卡器曝安全隐患
进入Stock版参与讨论
1 (共1页)
A****C
发帖数: 1
1
2021-11-14 22:40
来源:
温芳
作者: Anders Corr
美国及其盟国在使用中国科技产品的问题上太大意了,最近美国政府发现,中国制造的
信用卡读卡器把美国用户的数据发回中国,而厂商却给不出一个合理的解释。
美国财政部报告显示,几百万台中国制造的POS(point-of-sale,销售时点信息系统)
设备,即收银台上的刷卡机,很可能在把消费者数据传给中国。财政部的测试显示,这
些数据被加密后传给位于中国的一些匿名第三方机构。
彭博社引用美国财政部网络安全和关键基础设施保护办公室(OCCIP)一封信件上的说
法,这些数据传输的动作“对于正常的支付交易处理来说是不必要的”。流向中国的数
据,比正常支付交易所需的量更大、更频繁。
“财政部的初步评估认为,这些设备进行的数据传输使消费者数据的安全性受到威胁。
”一位财政部发言人告诉彭博社。
这些设备来自电子支付终端制造商中国公司百富环球(Pax Global)科技公司的子公司
。该公司宣称,对于数据安全性的顾虑是“谣言”。公司总部设于香港,研发及营运中
心主要位于中国深圳。百富称他们制造了5700万台支付终端,在世界120个国家使用。
10月26日,美国FBI搜查了百富位于佛罗里达州杰克逊维尔(Jacksonville)的办公室
。两天后,该公司安全服务部门副总监辞职。
英国安全机构也在调查这家中国设备制造商。
网络安全专家克雷布斯(Brian Krebs)说,FBI的搜查不仅是因为这家公司设备有着“
异常的数据传输”行为,而且还和网络攻击、骇客行为,以及在美国、欧盟机构内非法
收集数据相关。
佛罗里达金融公司FIS Worldpay的一位发言人表示:“这些(百富)设备自动会连接一
些网站,而这些网站在他们提供的设备说明书里面没有提到。我们向百富提出质疑,得
不到令人满意的答案。”出于对数据安全的考虑,FIS Worldpay不得不换掉百富设备,
改用美国和法国制造的设备。
这一事件只是中共科技设备黑暗面的冰山一角。中国制造的其它科技产品,像Zoom、
TikTok(抖音)、电脑、手机,已经把世界各地上亿用户的数据都暴露在中共政府的监
控之下。
2020年,视讯会议软件Zoom被下载了4.85亿次,它的安全问题仍未解决。同年,FBI向
Zoom发出安全问题警告。美国国防部及其下属机构已经禁止使用该软件。中共政府拥有
Zoom软件的加密密码,所有使用这个软件开会的数据都流经中国的服务器。
然而在2020年,世界上20个国家共9万所学校都做出这个错误的决定:使用Zoom软件进
行视讯会议。Skype和Google提供的视讯服务质量更好,但是更多人在使用Zoom。
Zoom的用户中很高比例是儿童,他们不把安全警告当回事。
Business of Apps最近发表的一篇文章说:“Zoom被发现未经授权向脸书发送数据。”
专家还发现Zoom的加密性能不达标。文章还说:“政府机构企业(加拿大和台湾)、多
家大机构(SpaceX和NASA),以及一些学校董事会(纽约和台湾)都已经禁止使用Zoom
软件。”
就在今年9月底,Zoom软件还被发现具有执行远端代码的漏洞。这意味着骇客通过互联
网可以控制用户的电脑。Zoom宣称已经找到漏洞并修复。也正是他们宣布修复的消息,
我们才知道还有这样大的漏洞。在过去的几年里,情况一直如此,直到专家逮住它的漏
洞提出,他们才不得不承认、去修复。天知道它们还存在什么漏洞!请别用Zoom了。
TikTok和中共政府的关系就更密切了。2020年这款应用程序被下载了8.5亿次,至今总
计下载30亿次。其中28%的用户不满18岁,59%是女性。2020年,北美有1.05亿用户。
TikTok属于字节跳动(ByteDance)公司,总部在北京。
出于对安全性的顾虑,2020年6月印度禁止使用该软件。两个月后,时任总统川普签署
行政令,要求TikTok或者和字节跳动分家,或者被一家美国公司收购。然而,拜登上台
后取消了这项要求,这真是很不明智。
The Information消息说,今年4月,北京政府增持了字节跳动1%的股份,在董事会增加
了一个席位。
作为回应,参议员马可‧卢比奥(Marco Rubio)谴责了拜登政府,他说:“不能
再假装TikTok不受控于中共。即使在今天(这个消息公布)之前,很明显TikTok对个人
隐私和美国国家安全都存在重大威胁。北京的扩张举动明确展示,这个极权把TikTok看
作是这个党国的分支机构,美国也要认清这一点。总统拜登必须立即行动解决字节跳动
和TikTok的安全问题。”
很重要的是,卢比奥提出解决这类问题不能满足于“按下葫芦浮起瓢”的局面。“我们
必须建立一套标准框架,所有高风险、外国的应用程序必须符合标准才能在美国的通信
市场和设备上运行。”
不仅对于软件是如此,对待来自与中共关系密切的厂商的电脑、平板电脑和手机都是如
此。90%的电脑、70%的手机都是在中国生产的。使用这些硬件都会带来很高的风险。
中共控制了世界上大部分电子设备的生产。这是一个现在在世界上疯狂扩张其权力的政
权。为了便利和低成本,我们总是忽略它带来的恶果,但是这样做风险很大。
考虑到使用中共提供的科技产品和技术的高风险,美国财政部已经透露出拒绝使用中共
技术的想法。
“OCCIP建议美国金融系统内的利益各方,采取基于风险评估的方法,保护他们的消费
者数据、企业网络和所提供服务的安全性。”财政部在本月关于调查百富的信件中说,
“银行和金融服务提供者必须把这套风险评估方法用于他们的供应链。”
尽管这样的警告很好,但这力度根本不够。我们需要法律和执行力配合去贯彻这套标准
,保证美国及盟国拥有安全的技术环境。我们的信息安全取决于美国和盟国对所有信息
技术的控制和保护,从种子投资到所有权、到硬件制造,再到软件的编写和操作。任何
一个环节都不能忽视。
美国及其盟国现在仍然不能保护我们的民主社会免受与中共关联的技术制造商的侵害,
包括TikTok等软件和计算机、电话和信用卡支付设备等硬件,这不合情理。这把美国及
盟友的隐私、工人、行业结构的多样性都置于风险之中。
1 (共1页)
进入Stock版参与讨论