Saskaņā ar ASV drošības kompānijas teikto, Huawei tīkla programmaparatūra ir caurstrāvota.
Uz papēža ziņas, ka aizdomās par Ķīnas valsts sponsorētiem hakeriem salūza telekomunikāciju gigantos, izmantojot IBM un HPE, pētnieki ir atklājuši, ka vairāk nekā pusei Ķīnas telekomunikāciju giganta Huawei aprīkojuma ir "vismaz viena potenciāla aizmugures durvis".
Tīklošana
- Labākie 5G klēpjdatori: Samsung, Lenovo un citi piedāvājumi ar 5G savienojumu
- Kā ātri un vienkārši pārbaudīt savu interneta ātrumu
- 5 populārākie VPN pakalpojumi: kā šie VPN ir salīdzināmi?
- Kāpēc mans internets ir tik lēns? 11 veidi, kā paātrināt savienojumu
Pētnieki no IoT drošības firmas Finite State ir snieguši šausminošu novērtējumu par Huawei tīkla ierīces drošības stāvokli. programmaparatūru, apgalvojot, ka "ir būtiski pierādījumi, ka Huawei ir daudz nulles dienas ievainojamību, kuru pamatā ir atmiņas bojājumi programmaparatūra".
"Rezumējot, ja iekļaujat zināmas attālās piekļuves ievainojamības un iespējamās aizmugures durvis, šķiet, ka Huawei ierīcēm ir liels potenciāla kompromisa risks."
firma rakstīja jaunā ziņojumā.SKATĪT: IT profesionāļa ceļvedis par 5G tehnoloģijas attīstību un ietekmi (bezmaksas PDF)
Secinājumi saskan ar jaunākajiem komentāriem, ko sniedzis Apvienotās Karalistes Nacionālā kiberdrošības centra (NCSC), spiegu aģentūras GCHQ nodaļas tehniskais direktors Ians Levijs.
Pēc Huawei aprīkojuma novērtēšanas saistībā ar bažām, ka Ķīna varētu izmantot tā 5G aprīkojumu, lai izspiegotu valsti, Levijs sacīja, ka Huawei drošība ir "objektīvi sliktāks" un "slikts" salīdzinājumā ar konkurentiem, kas ietver Ericsson, Nokia un Cisco.
Ziņojums par Huawei programmaparatūras drošību arī seko vienam no Reuters trešdien atklājot, ka hakeri, kas pazīstami kā Cloud Hopper un kuri, iespējams, strādāja Ķīnas Valsts ministrijā Drošība, uzlauzts Ericsson, Fujitsu, Tata, NTT Data, Dimension Data, CSC un HPE atdalīts DXC Tehnoloģija. Hakeri ielauzās uzņēmumos, izmantojot pārvaldītos IT pakalpojumu sniedzējus HPE un IBM.
Finite State savā ziņojumā norādīja, ka, neskatoties uz Huawei publiskajām saistībām uzlabot drošību, analīze atklāja, ka Huawei "drošības pozīcija" faktiski "laika gaitā samazinās".
"No tehniskās piegādes ķēdes drošības viedokļa Huawei ierīces ir dažas no sliktākajām, ko mēs jebkad esam analizējuši," raksta uzņēmums.
Tajā teikts, ka ir analizēti 1,5 miljoni failu aptuveni 10 000 programmaparatūras attēlu, kas tiek izmantoti 558 Huawei uzņēmuma tīkla produktos.
Saskaņā ar Finite State datiem vairāk nekā 55 procentiem programmaparatūras attēlu ir vismaz viena iespējamā aizmugures durvis. Trūkumi ietver cieti kodētus akreditācijas datus, ko varētu izmantot kā aizmugures durvis, nedrošu kriptogrāfisko atslēgu izmantošanu un norādes par sliktu programmatūras izstrādes praksi.
Tomēr jāatceras, ka pat ASV tehnoloģiju uzņēmumi, piemēram, Cisco, regulārilabot backdoor kontus iekšā viņu aprīkojums.
Tomēr Finite State atklāja, ka vidēji katrā Huawei programmaparatūras attēlā ir zināmas 102 ievainojamības, kā arī pierādījumi par daudzām nulles dienas ievainojamībām.
Viena no galvenajām problēmām, ko atklāja Finite State, ir saistīta ar to, ka Huawei izmanto un nespēj atjaunināt atvērtā pirmkoda programmatūras komponentus. īpaši OpenSSL, plaši izmantota kriptogrāfijas bibliotēka saziņas aizsardzībai tīmeklī, ko izmanto, lai iespējotu HTTPS. tīmekļa vietnes. Tāpat kā viedtālruņos, klienti, kas izmanto tīkla aprīkojumu, paļaujas uz pārdevējiem, lai nodrošinātu šo komponentu drošības atjauninājumus.
Tajā konstatēts, ka Huawei programmaparatūras trešo pušu atvērtā pirmkoda programmatūras komponentu vidējais vecums ir 5,36 gadi, un teikts, ka ir "tūkstošiem gadījumu, kad komponenti ir vecāki par 10 gadiem".
Huawei programmaparatūras vecāko OpenSSL versiju 1999. gadā izlaida atvērtā pirmkoda projekts. Uzņēmums paziņoja, ka Huawei programmaparatūrā ir atradis 389 bināros failus, kas bija neaizsargāti pret Sirds asiņošana, kritiskā kļūda atklāts 2014. gadā kas ļauj uzbrucējam nozagt e-pastu un citus sakarus, kas parasti būtu aizsargāti ar transporta slāņa drošības protokolu.
Huawei publicēšanas brīdī nebija pieejams, lai atbildētu uz ziņojumu vai apstrīdētu apsardzes firmas secinājumus. Stāsts tiks atjaunināts, ja Huawei atbildēs.
Vairāk par Huawei un drošību
- Šie hakeri ielauzās 10 telekomunikāciju uzņēmumos, lai nozagtu klientu tālruņu ierakstus
- Huawei drošība: “Būtiskas” inženiertehniskās nepilnības apdraud mūsu telekomunikāciju tīklus, saka Apvienotā Karaliste
- Facebook pārtrauks Huawei lietotņu iepriekšēju instalēšanu viedtālruņos
- Huawei pastiprina savu tehnoloģisko aukstā kara propagandu
- S&P brīdina, ka Huawei aizliegums ilgtermiņā skars ASV tehnoloģijas
- Neļaujiet kiberdrošību vadīt bailēm, brīdina NCSC vadītājs
- Huawei klēpjdatoru nodaļa atceļ pasūtījumus saistībā ar baumām par datoru tirgus aiziešanu Tehniskā Republika
- FCC komisārs saka, ka Huawei aprīkojums ir jāizņem no ASV tīkliem CNET