Realna groźba ze strony Huawei to nie szpiegostwo, lecz dziurawe firmware

Maciej Olanicki , 27.06.2019 r.

W rezultacie nałożenia na Huawei blokady będziemy mieli najpewniej do czynienia z narodzinami nowego mobilnego systemu operacyjnego, rozwijanego aktualnie pod nazwą Hongmeng OS. Dla wielu jest to upragniony od lat (a konkretniej – od zmierzchu mobilnego Windowsa) powrót trzeciej drogi, alternatywy dla Apple i Google. Ale Hongmeng OS może być także powodem do obaw i wcale nie chodzi tu o mniej lub bardziej bezpodstawne oskarżenie o szpiegostwo.

Chodzi o bezpieczeństwo. Na naszym blogu kilkukrotnie przywoływaliśmy przykłady pewnej niefrasobliwości chińskich producentów i dostawców usług zarówno w zakresie testów oprogramowania pod kątem podatności, jak i łatania luk znalezionych przez innych. Dość wspomnieć o wieloletnich zaniedbaniach ze strony Huawei w zakresie zabezpieczania swoich routerów z serii HG czy dwugodzinny wyciek tras BGP, w którym sporo winy było po stronie China Telecom.

Z drugiej zaś strony niełatwo dziś odróżnić faktyczne systematyczne niedopatrzenia ze strony chińskich producentów od oskarżeń napędzających amerykańską rację stanu. Niemniej warto zwrócić uwagę na raport opublikowany przez – skądinąd amerykańską – grupę Finite State. Jej pracownicy w ciągu ostatnich 14 lat (sic!) przeanalizowali 1,5 mln plików z 9936 obrazów firmware dla 558 urządzeń sieciowych Huawei. Analizę zakończono w kwietniu, a dziś możemy już zapoznać się z efektami tej tytanicznej pracy.

Zobacz też: System Huawei to nie Linux? Chińczycy mogą pracować nad czymś zupełnie nowym

Jak można się było spodziewać, Huawei nie ma powodów do zadowolenia. Według Finite State 55% urządzeń posiadało poważną lub krytyczną podatność, z czego większość pozwalała na zdalne wykonanie kodu. W samym raporcie niezbyt precyzyjnie określa się te podatności mianem „potencjalnych tylnych furtek”, co najpewniej nieprzypadkowo ma budzić skojarzenia, że luki pojawiły się w sprzęcie intencjonalnie. Niestety, dopatrując się w tym lesie szpiegowania, nie widzimy drzew, jakimi jest zwyczajne niedbalstwo.

Przykładem mogą być liczne niezałatane podatności w komponentach Open Source, z których korzysta także firmware Huawei. Wymienić można tu choćby implementacje OpenSSL, z których najstarsza datowana była na 1999 rok. Rzecz w tym, że przez 20 lat Huawei nie zrobił nic, aby zaktualizować OpenSSL w swoim firmware, przez co urządzenia posiadały podatności znane i aktywnie wykorzystywane przez włamywaczy przez dwie dekady. Podobnych przykładów jest znacznie więcej – można mówić wręcz o systematycznym przymykaniu oka na kwestie bezpieczeństwa.

Zobacz też: Były Naczelny Dowódca Sił Zbrojnych NATO ostrzega przed chińskimi kablami podmorskimi

Z pełną treścią raportu można zapoznać się na stronach Finite State. Nawet jeśli można mu zarzucić stronniczość, to rzuca on pewne światło na praktyki Huawei. W tym kontekście warto przeanalizować ewentualne szanse na popularność Hongmeng OS. Nie sposób oczekiwać, by przy okazji prac nad własnym systemem mobilnym Huawei nagle całkowicie przewartościował priorytety i zaczął przywiązywać większą wagę do kwestii bezpieczeństwa, którą zaniedbywał przez lata. Nic więć nie wskazuje na to, by Hongmeng OS był choć odrobinę bezpieczniejszy niż starszy brat Android.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: