Huawei Meninggalkan Pintu Belakang yang Berpotensi Dapat Dieksploitasi Dalam Syarikat Keselamatan Tuntutan Perisian Firmware

Huawei (Souce - Acara Akhbar Huawei)

A.S. telah lama mendakwa Huawei mengancam keselamatan digitalnya. Kini syarikat keselamatan mendakwa telah menggali beberapa ruang belakang yang berpotensi dieksploitasi dalam beberapa perisian yang digunakan oleh syarikat China. Ketika perlumbaan untuk menggunakan rangkaian 5G semakin pantas, tuntutan tersebut dapat membahayakan prospek perniagaan syarikat telekomunikasi dan rangkaian di seluruh dunia.

Penyelidik dari firma keselamatan IoT Finite State nampaknya telah mendedahkan bahawa lebih daripada separuh peralatan dari syarikat telekomunikasi China, Huawei, mempunyai 'sekurang-kurangnya satu pintu belakang yang berpotensi'. Terdapat bukti besar bahawa firmware peranti rangkaian Huawei mempunyai kekurangan, yang mungkin sengaja digunakan untuk membuat mereka rentan, kata syarikat itu. Semasa membuat penyelidikan mereka mengenai perisian Huawei yang dipasang di peralatan rangkaiannya, syarikat itu mengatakan, 'Terdapat bukti besar bahawa kerentanan zero-day berdasarkan kerosakan memori banyak terdapat dalam firmware Huawei. Ringkasnya, jika anda memasukkan kerentanan akses jarak jauh yang diketahui dan kemungkinan jalan belakang, peranti Huawei nampaknya berisiko tinggi untuk berkompromi. '

Kesimpulan yang dibuat oleh penyelidik keselamatan di Finite State nampaknya serupa dengan apa yang Ian Levy, pengarah teknikal Pusat Keselamatan Siber Nasional (NCSC) UK, sebuah unit agensi perisik GCHQ telah diambil awal bulan ini. Pada masa itu, Levy baru saja membuat kesimpulan untuk menilai peralatan Huawei atas tuntutan berterusan bahawa peralatan rangkaian 5G syarikat China dapat digunakan oleh China untuk menjalankan kempen pengintipan yang ditaja oleh negara. Levy secara terang-terangan mendakwa langkah keselamatan yang digunakan oleh Huawei dalam peralatannya 'secara objektif lebih buruk dan buruk' dibandingkan dengan semua pesaingnya dalam perniagaan rangkaian berwayar dan tanpa wayar. 'Dari sudut keselamatan rantai bekalan teknikal, peranti Huawei adalah yang terburuk yang pernah kami analisis,' kata Levy.

The penyelidik mencatat dalam laporan mereka bahawa di sebalik komitmen awam Huawei untuk meningkatkan keselamatan, analisis tersebut menunjukkan 'sikap keselamatan' Huawei sebenarnya 'semakin menurun dari masa ke masa'. Para penyelidik mendakwa mereka meneliti sekitar 558 produk rangkaian perusahaan Huawei. Mereka dilaporkan menyisir 1.5 juta fail dalam kira-kira 10,000 gambar firmware.

Huawei Meninggalkan Lebih Dari Seratus Kekurangan dan Kerentanan Keselamatan?

Analisis itu nampaknya menunjukkan bahawa lebih daripada 55 peratus gambar firmware mempunyai sekurang-kurangnya satu pintu belakang yang berpotensi. Beberapa kelemahan keselamatan dan kelemahan yang kelihatan disengajakan yang tersisa di dalam fail firmware termasuk kelayakan berkod keras yang boleh digunakan sebagai kunci kriptografi yang tidak selamat dari pintu belakang. Syarikat itu juga mengaku telah mengamati 'petunjuk amalan pengembangan perisian yang buruk.' Secara keseluruhan, Finite State mendakwa telah menemui kira-kira 102 kelemahan yang diketahui pada setiap gambar firmware Huawei. Terdapat bukti adanya kerentanan sifar hari juga.

'Terdapat masalah sistematik di Huawei dan itulah yang dapat kami tunjukkan di sini.' Siasatan keselamatan besar-besaran bagi peralatan rangkaian Huawei mendapati peralatan firma China berisiko tinggi untuk pengguna / melalui @globeandmail https://t.co/da3nnnAwdC

- Steven Chase (@stevenchase) 26 Jun 2019

Salah satu aspek menarik yang muncul semasa analisis adalah penggunaan komponen perisian sumber terbuka oleh Huawei. Huawei kerap bergantung pada OpenSSL. Platform sumber terbuka adalah perpustakaan kriptografi yang biasa digunakan untuk melindungi dan menyulitkan komunikasi digital. Dengan kata mudah, OpenSSL sering digunakan oleh laman web untuk mengaktifkan HTTPS. Huawei dilaporkan gagal mengemas kini perisian sumber terbuka seperti itu, kata penyelidik keselamatan itu. 'Umur rata-rata komponen perisian sumber terbuka pihak ketiga dalam firmware Huawei adalah 5.36 tahun.' Lebih-lebih lagi, terdapat 'ribuan contoh komponen yang berusia lebih dari 10 tahun.' Nampaknya, beberapa perisian yang ketinggalan zaman dan usang menjadikan peralatan Huawei rentan terhadap Heartbleed yang terkenal, virus yang sangat terkenal dan tersebar pada tahun 2011.

Adakah Huawei Satu-satunya Syarikat yang Menggunakan Perisian Sumber Terbuka?

Penting untuk diperhatikan bahawa syarikat yang serupa dengan Huawei, sering bergantung pada perisian sumber terbuka untuk mempercepat pengembangan dan penggunaan perisian dalam perkakasan. Lebih-lebih lagi, syarikat-syarikat ini sering menemui kawasan belakang dan kelemahan dan tergesa-gesa untuk menyelesaikannya. Pada hakikatnya, ini adalah amalan yang sangat biasa. Tetapi yang lebih penting ialah syarikat sering mengemas kini perisian dan cuba menggunakan versi terbaru atau paling stabil yang mempunyai beberapa pembaikan pepijat.

Singapura terus membuka pilihan pada rangkaian Huawei dan 5G https://t.co/kXLKx2TFVG

- Faisal S. (@ whiz913) 27 Jun 2019

Pada masa ini, pesaing utama Huawei adalah Ericsson, Nokia, dan Cisco. Secara kebetulan, semua syarikat ini merancang lelaran mereka sendiri untuk peralatan rangkaian 5G latensi berkelajuan tinggi dan ultra rendah. Organisasi-organisasi ini masih menilai kombinasi perkakasan yang paling optimum untuk memenuhi banyak keperluan 5G, termasuk sambungan yang boleh dipercayai ke peranti Internet of Things (IoT), kereta yang disambungkan, dan peranti elektronik lain. Walaupun 5G bergantung pada teknologi dan protokol komunikasi yang mapan, platform ini harus menggunakan banyak teknologi canggih. Lebih-lebih lagi, standard komunikasi mudah alih yang baru mempunyai jangkauan yang jauh lebih tinggi berbanding dengan semua standard sebelumnya. Oleh itu, sangat penting untuk menetapkan keselamatan yang kuat dan mencegah pelanggaran data atau kebocoran maklumat.