W rezultacie nałożenia na Huawei blokady będziemy mieli najpewniej do czynienia z narodzinami nowego mobilnego systemu operacyjnego, rozwijanego aktualnie pod nazwą Hongmeng OS. Dla wielu jest to upragniony od lat (a konkretniej – od zmierzchu mobilnego Windowsa) powrót trzeciej drogi, alternatywy dla Apple i Google. Ale Hongmeng OS może być także powodem do obaw i wcale nie chodzi tu o mniej lub bardziej bezpodstawne oskarżenie o szpiegostwo.

Chodzi o bezpieczeństwo. Na naszym blogu kilkukrotnie przywoływaliśmy przykłady pewnej niefrasobliwości chińskich producentów i dostawców usług zarówno w zakresie testów oprogramowania pod kątem podatności, jak i łatania luk znalezionych przez innych. Dość wspomnieć o wieloletnich zaniedbaniach ze strony Huawei w zakresie zabezpieczania swoich routerów z serii HG czy dwugodzinny wyciek tras BGP, w którym sporo winy było po stronie China Telecom.

Z drugiej zaś strony niełatwo dziś odróżnić faktyczne systematyczne niedopatrzenia ze strony chińskich producentów od oskarżeń napędzających amerykańską rację stanu. Niemniej warto zwrócić uwagę na raport opublikowany przez – skądinąd amerykańską – grupę Finite State. Jej pracownicy w ciągu ostatnich 14 lat (sic!) przeanalizowali 1,5 mln plików z 9936 obrazów firmware dla 558 urządzeń sieciowych Huawei. Analizę zakończono w kwietniu, a dziś możemy już zapoznać się z efektami tej tytanicznej pracy.

Zobacz też: System Huawei to nie Linux? Chińczycy mogą pracować nad czymś zupełnie nowym

Jak można się było spodziewać, Huawei nie ma powodów do zadowolenia. Według Finite State 55% urządzeń posiadało poważną lub krytyczną podatność, z czego większość pozwalała na zdalne wykonanie kodu. W samym raporcie niezbyt precyzyjnie określa się te podatności mianem „potencjalnych tylnych furtek”, co najpewniej nieprzypadkowo ma budzić skojarzenia, że luki pojawiły się w sprzęcie intencjonalnie. Niestety, dopatrując się w tym lesie szpiegowania, nie widzimy drzew, jakimi jest zwyczajne niedbalstwo.

Przykładem mogą być liczne niezałatane podatności w komponentach Open Source, z których korzysta także firmware Huawei. Wymienić można tu choćby implementacje OpenSSL, z których najstarsza datowana była na 1999 rok. Rzecz w tym, że przez 20 lat Huawei nie zrobił nic, aby zaktualizować OpenSSL w swoim firmware, przez co urządzenia posiadały podatności znane i aktywnie wykorzystywane przez włamywaczy przez dwie dekady. Podobnych przykładów jest znacznie więcej – można mówić wręcz o systematycznym przymykaniu oka na kwestie bezpieczeństwa.

Zobacz też: Były Naczelny Dowódca Sił Zbrojnych NATO ostrzega przed chińskimi kablami podmorskimi

Z pełną treścią raportu można zapoznać się na stronach Finite State. Nawet jeśli można mu zarzucić stronniczość, to rzuca on pewne światło na praktyki Huawei. W tym kontekście warto przeanalizować ewentualne szanse na popularność Hongmeng OS. Nie sposób oczekiwać, by przy okazji prac nad własnym systemem mobilnym Huawei nagle całkowicie przewartościował priorytety i zaczął przywiązywać większą wagę do kwestii bezpieczeństwa, którą zaniedbywał przez lata. Nic więć nie wskazuje na to, by Hongmeng OS był choć odrobinę bezpieczniejszy niż starszy brat Android.