Oppdatering: Både Huawei og Vodafone tilbakeviser konklusjonene i Bloomberg-artikkelen som ligger til grunn for dette oppslaget. Digi.no og Inside Telecom endret mandag morgen ingressen i artikkelen slik at den reflekterer dette. Se for øvrig egen faktaboks.
Teleselskapet Vodafone har overfor Bloomberg bekreftet at selskapet i årene 2011 og 2012 fant flere bakdører og mange sårbarheter i teleutstyr fra Huawei som ble brukt av Vodafone i Italia. Bakdørene kan potensielt ha gitt både Huawei og andre uautorisert adgang.
Både Vodafone og Huawei opplyser at sårbarhetene og bakdørene ble fjernet etter at Huawei ble varslet om dem. Men ifølge dokumenter Bloomberg har fått tilgang til, er ikke dette hele sannheten.
Les også: Vodafone tar sikte på å bli EUs største telecom-selskap
Fant en rekke sårbarheter
Det Vodafone, og til dels Huawei har bekreftet, er at det i 2011 ble funnet sårbarheter i bredbåndsrutere fra Huawei som Vodafone leverte til bredbåndskunder i privatmarkedet i Italia. Det blir opplyst at det ikke er noe som tyder på at data har blitt kompromittert på grunn av dette.
I 2012 skal det ha blitt identifisert sårbarheter i nettverksgatewayer for bredbåndstjenester. På ukjent tidspunkt skal det også ha blitt funnet sårbarheter i flere Huawei-produkter relatert til optiske tjenestenoder. Alt skal ha vært lokalisert i Italia.
Vodafone opplyser at det ikke er uvanlig at operatører og tredjeparter oppdager sårbarheter i utstyr fra leverandører.
– Vodafone tar sikkerhet ekstremt alvorlig, og det er derfor vi uavhengig tester utstyret vi tar i bruk for å oppdage om det eksisterer noen sårbarheter. Dersom en sårbarhet eksisterer, samarbeider Vodafone med leverandøren om å løse det raskt, heter det uttalelsen fra Vodafone til Bloomberg.
Huawei skal i en tilsvarende uttalelse til Bloomberg ha oppgitt at selskapet ble gjort kjent med sårbarhetene i 2011 og 2012, og at disse ble adressert den gang.
I en uttalelse til ZDNet avviser Huawei at det dreier seg om bakdører.
– Dette var tekniske feil i utstyret vårt, som ble identifisert og rettet. Den aksepterte definisjonen på «bakdører» er sårbarheter som er bygd inn med hensikt og som kan utnyttes. Dette er ikke slike. De er feil som ble rettet, oppgir Huawei.
Interne dokumenter forteller en annen historie
Opplysningene som Vodafone kommer med, stemmer dårlig overens med interne rapporter som Bloomberg skal ha fått tilgang til. I blant annet et dokument fra januar 2011 heter det at da Vodafone i Italia fant ut at det ble kjørt telnet-tjenester i bredbåndsruterne, krevde selskapet at disse skulle fjernes. Huawei skal så ha forsikret Vodafone om tjenestene var blitt fjernet, men ny testing viste at telnet-tjenesten fortsatt kunne startes.
Da skal Huawei ha nektet å fjerne denne bakdøren fullstendig, ved å vise til at den var et produksjonskrav og at selskapet behøver tjenesten for å konfigurere enheten og utføre tester på blant annet wifi.
– Bekymringsfullt
Dette forholdet skal også ha blitt tatt opp i et dokument forfattet av Bryan Littlefair, selskapets daværende direktør for informasjonssikkerhet.
– Det som er mest bekymringsfullt her er handlingene til Huawei, hvor de først går med på å fjerne koden, deretter forsøker å skjule den, og nå nekter å fjerne den fordi de trenger den av «kvalitetsårsaker», skriver Littlefair ifølge Bloomberg.
I det samme dokumentet opplyser Vodafone at det er vanlig blant noen ruterprodusenter å bruke en telnet-tjeneste til å administrere utstyret sitt, men at Vodafone ikke tillater dette.
Huawei har ifølge Bloomberg nektet å kommentere disse bekymringene, og Littlefair har ikke svart på henvendelsene fra nyhetsbyrået.
Ifølge Bloomberg har Vodafone-sjef Nick Read vært blant dem som har gått imot forbud mot å bruke Huawei-utstyr i 5G-nett, blant annet ved å advare om forsinkelser og økte kostnader.
Read skal likevel i januar ha fortalt at Vodafone har tatt en pause i innkjøpene av Huawei-utstyr for bruk i kjernedelen av selskapets mobilnettverk. Begrunnelsen skal ha vært for mye støy rundt situasjonen.
Britisk etterretningssjef: Hvilket land 5G-teknologien kommer fra, er ikke det viktigste