Medie: Rapport viser forholdsvist mange sårbarheder i Huawei-produkter

En rapport viser, at der er flere sårbarheder i udstyr til telekommunikationsindustrien fra Huawei end fra konkurrerende produkter.

Udstyr til brug i telekommunikationsindustrien fra kinesiske Huawei indeholder umiddelbart flere sårbarheder end konkurrerende produkter.

Det fortæller Wall Street Journal (WSJ) på baggrund af en ny forskningsrapport fra et it-sikkerhedsfirmaet Finite State. Firmaet ligger i den amerikanske delstat Ohio.

Som flere vil vide, er Huawei den senere tid - både i Danmark og i Vesten generelt - blevet beskyldt for at udgøre en sikkerhedsrisiko.

Frygten går på, at Huaweis produkter i centrale dele af de vestlige telenet kan bruges til at spionere på vegne af den kinesiske regering, ligesom bekymringen også er, at der måske kan slukkes for hele eller dele af telenettet, hvis kineserne ønsker det.

Ifølge WSJ, der selv har kigget i rapporten, er analysen blandt andet blevet sendt til flere embedsfolk i både USA og Storbritannien.

Finite State har via automatiserede værktøjer analyseret mere end 1,5 mio. unikke filer i næsten 10.000 firmware-images fordelt på 558 produkter i Huaweis enterprise-produktlinjer.

Ifølge WSJ så oplyser Finite State, at mængden af sårbarheder fundet i Huawei-udstyret er langt større end udstyr produceret af konkurrenter til den kinesiske virksomhed.

55 pct.

WSJ fortæller endvidere, at der i 55 pct. af Huaweis produkter er fundet en sårbarhed, som forfatterne til rapporten beskriver som en »potentiel bagdør,« som kan gøre en angriber med kendskab til firmwaren og den rette kryptografiske nøgle i stand til at logge ind i enheden.

Her er det værd at bemærke, at alene det, at en sårbarhed kan bruges som en bagdør, ikke er det samme som, at bagdøren er placeret bevidst.

Men det kan være svært for Huawei at bevise, at der er tale om en kodefejl og ikke en bevidst placeret bagdør.

I 29 pct. af de testede enheder blev der ifølge WSJ fundet et brugernavn og kodeord direkte i selve firmwaren. Hvis loginoplysningerne forbliver uændrede vil det ifølge udlægningen af rapporten fra det amerikanske medie kunne gøre en ondsindet aktør i stand til at tilgå de pågældende enheder.

Jævnfør WSJ's udlægning, så bliver Huawei dog i rapporten fra Finite State ikke decideret anklaget for bevidst at have indbygget sårbarheder i produkterne.

En en unavngiven talsperson fra Huawei siger ifølge WSJ, at virksomheden hilser uafhængig forskning, som kan forbedre sikkerheden i virksomhedens produkter, velkommen. Vedkommende ville dog ikke kommentere på detaljerne i Finite State-rapporten med henvisning til, at Huawei ikke har fået fuld adgang til rapporten.

»Uden nogen detaljer kan vi ikke kommentere på professionalisme og robustheden af analysen,« lyder det ifølge WSJ fra Huawei-talspersonen.

Britisk kodekritik

Storbritaniens National Cyber Security Centre har ifølge WSJ's oplysninger også set Finite State-rapporten. Og ifølge WSJ er de britiske myndigheder nået frem til, at rapporten ligger godt i tråd med en britisk analyse fra marts.

Sidstnævnte analyse udkom som en rapport fra tilsynsudvalget Huawei Cybersecurity Evaluation Center (HCSEC). Denne rapport omtalte Version2 i sin tid.

I spidsen for udvalget sidder det britiske svar på NSA, efterretningstjenesten GCHQ.

I HCSEC-rapporten blev det blandt andet bemærket, at der var adskillige kopier og udgaver af krypterings-biblioteket OpenSSL spredt ud i Huaweis software. Og i den forbindelse blev det også bemærket, at noget af OpenSSL-koden så ud til at indeholde kendte sårbarheder.

I den britiske rapport fremgår det, at der som følge af problemerne kun kan give en begrænset garanti i forhold til, hvorvidt sikkerheds-risici forbundet med Huawei-udstyr, som allerede bliver brugt i Storbritannien, kan håndteres på længere sigt.

»The Oversight Board continues to be able to provide only limited assurance that the long-term security risks can be managed in the Huawei equipment currently deployed in the UK,« hedder det i rapporten fra HCSEC.

Dengang lød det blandt andet i et svar fra Huawei, at televirksomheden tager de britiske myndigheders bekymringer i forhold til virksomhedens evne til at lave pålidelig software alvorligt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Larsen

Det lugter mere, som et Trump'et "trut" til at underbygge den verserede handelskrig med Kina. Den er UK et al ganske med på.

Men ud over det, bør vi naturligvis købe EU baserede hhv. producerede produkter her i EU. Det kan godt være det er mere bekosteligt, og det behøver man ikke en udskreget handelskrig for.

mvh.

  • 3
  • 1
Michael Cederberg

De fejl som rapporteres kan være almindelig sjusk. Det er selvfølgeligt vigtigt at vide når man køber udstyr hvis kvaliteten ikke er god nok.

Men firmaet Finate State har brugt automatiserede søgemetoder til at finde svagheder i Huawei firmware. Den slags teknikker er gode til at finde sjusk men mindre gode til at finde bagdøre der er puttet ind med vilje. Hvis en bagdør er lavet rigtigt er det ikke til at se om det er en bagdør eller helt almindelig funktionalitet. Med mindre man ved hvad softwaren skal gøre.

Læg så oveni at de kun har kigget på firmware. En bagdør i stil med den Bloomberg beskrev ifbm. Supermicro (hvadenten historien er korrekt eller ej så er der enighed om at den er plausibel) vil ikke blive fundet.

Med andre ord, rapporten kan ikke bruges i en diskussion omkring kinesisk spionage. Den kan bruges til at vurdere kvaliteten af Huawei produkter.

  • 3
  • 0
Thomas Toft

Uanset om vi kan stole på det eller ej, så er det skræmmende at Huawei har så mange fejl når de -i hvert fald hvis man ser på nyheder om emnet- ikke har noget der minder om samme usikkerhed som Cisco. Der går næppe en måned uden der er fundet en ny Cisco-sårbahed som typisk enten er en bevidst bagdør eller i det mindste kodning på 5. klasse niveau.

Det eneste vi kan konkludere er at hvis Kina vil følge med i hvad data der flyder på vores netværk, så gør der ikke den mindste forskel om vi bruger Huawei eller Cisco. Men er det ikke bare unødig nyheds-støj og spild af energi at diskutere? Så længe vi kobler alt på internettet uanset om det så er pacemakers eller elværker og lader store firmaere kode det uden, at hverken de eller brugerne har noget som helt ansvar for den skade de kan gøre, kan vi lige så godt vælge ud fra pris som sikkerhed. Det hele er alligevel usikkert.

  • 0
  • 0
Lars Christensen

Jeg er normalt ikke tilhænger af heksejagten på Huawei, men den i rapporten angivne situation:

"I 29 pct. af de testede enheder blev der ifølge WSJ fundet et brugernavn og kodeord direkte i selve firmwaren."

Tyder på totalt fravær af Egen-kvalitets-kontrol (EKK), som "kan" skyldes den særegne kinesiske tilgang til kritik, som pr. definition opfattes som tab af ansigt.

Det ses ofte i IT-udviklingsprojekter med manglende Egen-kvalitets-kontrol (EKK), at testmoduler som det angivne, ikke fjernes i alle versioner af produktet.

Skylden for manglende EKK, kan være mange, men politisk pres eller aktionærpres har meget stor indflydelse. Jvf f.eks. Boeing, Rejsekortet, EFI, Samsung, Microsoft W10 etc

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize