Huawei forlod potentielt udnyttelig bagdør i netværksfirma, der hævder sikkerhedsfirmaet
USA har længe hævdet, at Huawei truede sin digitale sikkerhed. Nu hævder et sikkerhedsfirma at have fundet flere potentielt udnyttelige bagdøre i en hel del af den software, som det kinesiske firma har implementeret. Efterhånden som løbet om at implementere 5G-netværk vinder hastighed, kan sådanne krav yderligere bringe telekommunikations- og netværksgigantens forretningsmuligheder i fare yderligere over hele kloden.
Forskere fra IoT-sikkerhedsfirmaet Finite State har åbenbart afsløret, at over halvdelen af udstyret fra Kinas telekommunikationsgigant, Huawei, har "mindst en potentiel bagdør". Der er betydelige beviser for, at Huaweis netværksenhedsfirmware havde fejl, som bevidst kunne have været implementeret for at gøre dem sårbare, hævder firmaet. Mens de fremlagde deres forskning i Huaweis software installeret i dets netværksudstyr, sagde virksomheden: ”Der er væsentlige beviser for, at nul-dags sårbarheder baseret på hukommelseskorruptioner er rigelige i Huawei firmware. Sammenfattende, hvis du inkluderer kendte, fjernadgangssårbarheder sammen med mulige bagdøre, ser Huawei-enheder ud til at have stor risiko for potentielt kompromis. ”
De konklusioner, der drages af sikkerhedsforskerne i Finite State, ser ud til at være meget ens, hvad Ian Levy, teknisk direktør for Det Forenede Kongeriges National Cyber Security Center (NCSC), en enhed fra spionagenturet GCHQ havde draget tidligere på denne måned. Dengang havde Levy netop afsluttet at evaluere Huawei-udstyr i forhold til vedholdende påstande om, at det kinesiske selskabs 5G-netværksudstyr kunne bruges af Kina til at gennemføre udbredte statsstøttede spionagekampagner. Levy havde direkte hævdet, at sikkerhedsforanstaltninger, der blev implementeret af Huawei i dets udstyr, var "objektivt dårligere og sjuskede" sammenlignet med alle sine konkurrenter inden for kabelforbundet og trådløst netværk. ”Fra et teknisk synspunkt i forsyningskæden er Huawei-enheder nogle af de værste, vi nogensinde har analyseret,” hævdede Levy.
Forskerne bemærkede i deres rapport, at på trods af Huaweis offentlige forpligtelser til at forbedre sikkerheden, afslørede analysen, at Huaweis "sikkerhedsstilling" faktisk "falder over tid". Forskerne hævdede, at de gennemgik omkring 558 Huawei-netværksprodukter til virksomheder. De siges at have kæmpet igennem 1,5 millioner filer inden for ca. 10.000 firmwarebilleder.
Huawei efterlod mere end hundrede sikkerhedsfejl og sårbarheder?
Analysen afslørede tilsyneladende, at mere end 55 procent af firmwarebillederne har mindst en potentiel bagdør. Nogle af de bemærkelsesværdige sikkerhedsmangler og tilsyneladende forsætlige sårbarheder, der er tilbage i firmwarefilerne, indeholder hardkodede legitimationsoplysninger, der kan bruges som en bagdør, usikker brug af kryptografiske nøgler. Virksomheden hævdede også at have observeret “indikationer på dårlig softwareudviklingspraksis.” Samlet set hævder Finite State at have opdaget omkring 102 kendte sårbarheder i gennemsnit i hvert Huawei-firmwarebillede. Der var angiveligt også tegn på adskillige nul-dags sårbarheder.
Et interessant aspekt, der dukkede op under analysen, var Huaweis brug af open source softwarekomponenter. Huawei stod regelmæssigt på OpenSSL. Open source-platformen er et almindeligt anvendt kryptografisk bibliotek til beskyttelse og kryptering af digital kommunikation. I enkle ord bruges OpenSSL ofte af websteder til at aktivere HTTPS. Huawei har angiveligt ikke opdateret sådan open source-software, hævdede sikkerhedsforskerne. “Gennemsnitsalderen for tredjeparts open source-softwarekomponenter i Huawei-firmware er 5,36 år.” Desuden er der "tusinder af forekomster af komponenter, der er mere end 10 år gamle." Tilsyneladende efterlod noget af den forældede og forældede software Huaweis udstyr sårbart over for den berygtede Heartbleed, en meget berygtet og udbredt virus tilbage i 2011.
Bruger Huawei det eneste firma med open source-software?
Det er vigtigt at bemærke, at virksomheder, der ligner Huawei, ofte stoler på open source-software for at fremskynde softwareudvikling og implementering i hardware. Desuden opdager disse virksomheder ofte bagdøre og sårbarheder og skynder sig at lappe dem. I det væsentlige er det en meget almindelig praksis. Men hvad der endda er vigtigt er, at virksomheder ofte opdaterer softwaren og prøver at bruge den nyeste eller mest stabile version, der har flere fejlrettelser.
I øjeblikket er Huaweis hovedkonkurrenter Ericsson, Nokia og Cisco. I øvrigt designer alle disse virksomheder deres egne iterationer af 5G-netværksudstyr med høj hastighed, ultra-lav latenstid. Disse organisationer vurderer stadig den mest optimale kombination af hardware til at opfylde de mange krav til 5G, inklusive pålidelig forbindelse til Internet of Things (IoT) -enheder, tilsluttede biler og andre elektroniske enheder. Selvom 5G er afhængig af etablerede teknologier og kommunikationsprotokoller, skal platformen bruge meget banebrydende teknologi. Desuden har den nye mobilkommunikationsstandard langt større rækkevidde sammenlignet med alle de tidligere standarder. Derfor er det afgørende at oprette stærk sikkerhed og forhindre et databrud eller informationslækage.