Huawei er i søkelyset for tiden fordi myndighetene i flere land frykter at teleutstyret selskapet leverer, kan ha bakdører som gir kinesiske myndigheter mulighet til blant annet å spionere på brukerne, enten direkte eller via det kinesiske selskapet. Huawei nekter for at dette er tilfellet.
– Mange sårbarheter
I den forbindelse har den tyske sikkerhetsforskeren Felix «FX» Lindner kommet med en interessant avsløring. Under Hack In the Box-konferansen som tidligere denne uken ble arrangert i Kuala Lumpur, Malaysia, sa han at Huaweis bredbåndsrutere og teleutstyr har så mange sårbarheter at det ikke er nødvendig med noen egen bakdør. Dette skriver ZDNet.
– Kodekvaliteten er stort sett fra 1990-tallet, sa Lindner, ifølge amerikanske Computerworld.
Aktuelt
Lindner har analysert programvaren i flere av Huaweis rutere for både privat- og bedriftsmarkedet, blant annet AR18- og AR29-seriene.
Lindners oppdagelser er egentlig ikke av helt ny dato. Han og en kollega i selskapet Recurity Labs presenterte mye av det samme allerede under Defcon-konferansen i juli. Men informasjonen har blitt ytterligere aktualisert nå.
Om de aktuelle rapportene fra blant annet amerikanske myndigheter, sa Lindner at han til en viss grad støtter det de forteller.
– [...] men ikke av de samme årsakene som rapporten oppgir, men ganske enkelt på grunn av kvalitetssikring. Jeg ville heller at Cisco skulle bygge nettverk for myndighetene enn Huawei, ikke fordi Huawei er kinesiske, men fordi – når man sammenligner – har Cisco produkter med høyere kvalitet, sa Lindner ifølge Computerworld.
– Mye å lære
Huawei skal allerede etter avsløringene i juli ha uttalt at selskapet har streng sikkerhetspraksis og at selskapet følger den rådende praksisen i bransjen.
Lindner sier nå til ZDNet at Huawei har mye å lære av den bevissthetsendringen om sikker programmeringspraksis som Microsoft gjorde for noen år tilbake.
Statisk passord
Nå var det ikke bare gammelt nytt Lindner kom med om Huawei under Hack in the Box-konferansen. Han fortalte også at «boot loaderen» (oppstartslasteren) til Huawei-ruterne bare er beskyttet av et statisk passord som gjelder på tvers av hele produktfamilien.
Passordet brukes for å åpne for oppdatering av ruterens programvare. En oversikt over passordene finnes her. Passordet skal ikke kunne deaktiveres, men det kreves fysisk tilgang til rutere for å kunne utnytte dette i et eventuelt angrep.
Lindner sier til ZDNet at han tror at bruken av statiske passord bare skyldes at Huawei har forsøkt å gjøre det enklere å gi kundestøtte.
Digi.no har bedt Huawei Norge om en kommentar til denne saken. Vi spurte også om når eventuelle sikkerhetsoppdateringer vil foreligge:
– Vi er klar over medieoppslag fra HITB-konferansen i Malaysia, der én forskers syn på Huaweis produkter har blitt omtalt. Når potensielle sårbarheter i produktene våre håndteres, følger vi samme praksis som andre IKT-bedrifter (inkludert Microsoft og Cisco). Vi vil alltid iverksette tiltak for å beskytte våre kunder og gi dem relevante tekniske løsninger og støtte, skriver kommunikasjonsansvarlig i Huawei Norge, Erik T. Ganer, i en e-post til digi.no.
Saken er oppdatert klokken 15.52 med kommentar fra Huawei Norge.
Les også:
- [13.05.2014] – Bakdør plantes i amerikansk IT-utstyr før eksport
- [22.04.2014] «Feilfiks» skjuler bakdør
- [24.03.2014] – USA hacket Huaweis hovedkontor
- [06.01.2014] – Gapende hull i rutere
- [08.01.2013] Røsker ut all kinesisk IT
- [30.11.2012] - Kina kan lese epost på Stortinget
- [01.11.2012] Ber om hjelp fra sin hardeste kritiker
- [18.10.2012] Dementerer ny Huawei-rapport
- [12.10.2012] Treffsikkert fra Huawei
- [12.10.2012] – Vi spionerer ikke
- [10.10.2012] Telenor: – Huawei er en risiko vi tar
- [14.09.2012] Risikabelt å kjøpe kinesisk IT-utstyr?
