Společnost Huawei opustila potenciálně zneužitelná zadní vrátka v síti Firmware tvrdí, že má bezpečnostní společnost

Společnost Huawei opustila potenciálně zneužitelná zadní vrátka v síti Firmware tvrdí, že má bezpečnostní společnost

Bezpečnostní / Společnost Huawei opustila potenciálně zneužitelná zadní vrátka v síti Firmware tvrdí, že má bezpečnostní společnost 3 minuty čtení

Huawei (Souce - tisková událost Huawei)

USA již dlouho tvrdí, že Huawei ohrožuje svou digitální bezpečnost. Nyní bezpečnostní společnost tvrdí, že objevila několik potenciálně využitelných zadních vrátek v několika softwarech, které čínská společnost nasadila. Vzhledem k tomu, že závod v zavádění sítí 5G získává na rychlosti, mohla by tato tvrzení dále ohrozit obchodní vyhlídky telekomunikačních a síťových gigantů po celém světě.



Vědci z bezpečnostní firmy IoT Finite State zjevně odhalili, že více než polovina vybavení čínského telekomunikačního giganta Huawei má „alespoň jednu potenciální zadní vrátka“. Existují podstatné důkazy o tom, že firmware síťového zařízení Huawei měl nedostatky, které mohly být záměrně nasazeny, aby byly zranitelné, tvrdí firma. Při uvádění výzkumu softwaru Huawei nainstalovaného v síťovém zařízení společnost uvedla: „Existují podstatné důkazy o tom, že ve firmwaru Huawei jsou hojné chyby zabezpečení založené na poškození paměti nulového dne. Stručně řečeno, pokud zahrnete známé chyby zabezpečení vzdáleného přístupu spolu s možnými zadními vrátky, zdá se, že jsou zařízení Huawei vystavena vysokému riziku možného kompromisu. “



Závěry vyvozené bezpečnostními vědci ve Finite State se zdají být docela podobné těm, které Ian Levy, technický ředitel britského Národního centra pro kybernetickou bezpečnost (NCSC), jednotky špionážní agentury GCHQ, vyvodil počátkem tohoto měsíce. V té době Levy právě uzavřel hodnocení zařízení Huawei nad přetrvávajícími tvrzeními, že síťové zařízení čínské společnosti 5G by mohla Čína použít k provádění rozsáhlých špionážních kampaní sponzorovaných státem. Levy přímo tvrdil, že bezpečnostní opatření zavedená společností Huawei do jejích zařízení jsou „objektivně horší a chatrnější“ ve srovnání se všemi jejími konkurenty v oboru kabelových a bezdrátových sítí. 'Z technického hlediska zabezpečení dodavatelského řetězce jsou zařízení Huawei jedny z nejhorších, jaké jsme kdy analyzovali,' prohlásil Levy.

The vědci uvedli ve své zprávě že navzdory veřejným závazkům společnosti Huawei ke zlepšení zabezpečení analýza odhalila „bezpečnostní pozici“ společnosti Huawei ve skutečnosti „časem klesá“. Vědci tvrdili, že prozkoumali přibližně 558 podnikových síťových produktů Huawei. Údajně pročesali 1,5 milionu souborů v přibližně 10 000 obrazech firmwaru.



Huawei nechal více než sto bezpečnostních nedostatků a zranitelností?

Analýza zjevně odhalila, že více než 55 procent obrazů firmwaru má alespoň jeden potenciální backdoor. Některé z pozoruhodných mezer v zabezpečení a zdánlivě úmyslné chyby zabezpečení, které zůstaly uvnitř souborů firmwaru, obsahují pevně přihlašovací údaje, které lze použít jako zadní vrátka, nebezpečné použití kryptografických klíčů. Společnost rovněž tvrdila, že zaznamenala „náznaky špatných postupů při vývoji softwaru“. Celkově společnost Finite State tvrdí, že průměrně objevila přibližně 102 známých chyb zabezpečení v každém obrazu firmwaru Huawei. Údajně také existovaly důkazy o četných zranitelnostech nultého dne.

Jedním zajímavým aspektem, který se během analýzy objevil, bylo použití softwarových komponent open-source společností Huawei. Huawei se pravidelně spoléhal na OpenSSL. Open source platforma je běžně používaná kryptografická knihovna pro ochranu a šifrování digitální komunikace. Jednoduše řečeno, OpenSSL je často používán webovými stránkami k povolení HTTPS. Huawei údajně nedokázal takový open-source software aktualizovat, tvrdí bezpečnostní vědci. 'Průměrný věk softwarových komponent open-source třetích stran ve firmwaru Huawei je 5,36 let.' Kromě toho existují „tisíce instancí součástí starších než 10 let“. Zdá se, že některý ze zastaralého a zastaralého softwaru nechal zařízení Huawei zranitelné vůči nechvalně známému Heartbleed, velmi notorickému a široce rozšířenému viru již v roce 2011.

Je Huawei jedinou společností využívající software s otevřeným zdrojovým kódem?

Je důležité si uvědomit, že společnosti podobné společnosti Huawei se při urychlení vývoje a nasazení softwaru v hardwaru často spoléhají na software s otevřeným zdrojovým kódem. Tyto společnosti navíc často objevují zadní vrátka a zranitelná místa a spěchají je opravit. V podstatě se jedná o velmi běžnou praxi. Ale co je dokonce důležité, je to, že společnosti často aktualizují software a snaží se používat nejnovější nebo nejstabilnější verzi, která má několik oprav chyb.

V současné době jsou hlavními konkurenty společnosti Huawei společnosti Ericsson, Nokia a Cisco. Mimochodem, všechny tyto společnosti navrhují vlastní iterace vysokorychlostního síťového vybavení s 5G sítí s extrémně nízkou latencí. Tyto organizace stále vyhodnocují nejoptimálnější kombinaci hardwaru pro splnění mnoha požadavků 5G, včetně spolehlivého připojení k zařízením internetu věcí (IoT), připojeným automobilům a dalším elektronickým zařízením. Přestože se 5G spoléhá na zavedené technologie a komunikační protokoly, platforma musí používat spoustu špičkových technologií. Nový standard mobilní komunikace má navíc mnohem větší dosah ve srovnání se všemi předchozími standardy. Proto je zásadní nastavit silné zabezpečení a zabránit narušení dat nebo úniku informací.

Značky Huawei