Huawei heeft mogelijk exploiteerbare achterdeur achtergelaten in beveiligingsbedrijf voor netwerkfirmware-claims

De VS beweren al lang dat Huawei zijn digitale veiligheid bedreigde. Nu beweert een beveiligingsbedrijf verschillende potentieel exploiteerbare achterdeuren te hebben opgegraven in een flink aantal van de software die het Chinese bedrijf heeft geïmplementeerd. Naarmate de race om 5G-netwerken uit te rollen steeds sneller wordt, kunnen dergelijke claims de zakelijke vooruitzichten van de telecom- en netwerkgigant over de hele wereld verder in gevaar brengen.

Onderzoekers van IoT-beveiligingsbedrijf Finite State hebben blijkbaar onthuld dat meer dan de helft van de apparatuur van de Chinese telecomgigant Huawei "ten minste één potentiële achterdeur" heeft. Er is substantieel bewijs dat de firmware van Huawei's netwerkapparaat gebreken vertoonde, die opzettelijk zouden kunnen zijn ingezet om ze kwetsbaar te maken, beweert het bedrijf. Tijdens hun onderzoek naar Huawei's software die in zijn netwerkapparatuur is geïnstalleerd, zei het bedrijf: "Er is substantieel bewijs dat zero-day-kwetsbaarheden op basis van geheugenbeschadigingen overvloedig aanwezig zijn in Huawei-firmware. Samenvattend, als je bekende kwetsbaarheden voor toegang op afstand meetelt, samen met mogelijke achterdeurtjes, lijkt het erop dat Huawei-apparaten een hoog risico lopen op mogelijke compromittering.”

De conclusies van de beveiligingsonderzoekers van Finite State lijken vrij veel op wat Ian Levy, technisch directeur van het National Cyber ​​Security Centre (NCSC) van het VK, een eenheid van spionageagentschap GCHQ, eerder deze maand had getrokken. Destijds was Levy net klaar met het evalueren van Huawei-apparatuur vanwege aanhoudende beweringen dat de 5G-netwerkapparatuur van het Chinese bedrijf door China zou kunnen worden gebruikt om wijdverbreide door de staat gesponsorde spionagecampagnes uit te voeren. Levy beweerde ronduit dat de door Huawei toegepaste beveiligingsmaatregelen in zijn apparatuur "objectief slechter en slordig" waren in vergelijking met al zijn concurrenten op het gebied van bekabelde en draadloze netwerken. "Vanuit het oogpunt van technische beveiliging van de toeleveringsketen zijn Huawei-apparaten enkele van de slechtste die we ooit hebben geanalyseerd", beweerde Levy.

De onderzoekers merkten in hun rapport op dat ondanks de publieke toezeggingen van Huawei om de beveiliging te verbeteren, uit de analyse bleek dat de "beveiligingshouding" van Huawei in feite "in de loop van de tijd afneemt". De onderzoekers beweerden dat ze ongeveer 558 Huawei-producten voor bedrijfsnetwerken onder de loep hadden genomen. Ze hebben naar verluidt 1,5 miljoen bestanden doorzocht binnen ongeveer 10.000 firmware-afbeeldingen.

Huawei heeft meer dan honderd beveiligingsfouten en kwetsbaarheden achtergelaten?

Uit de analyse bleek blijkbaar dat meer dan 55 procent van de firmware-images ten minste één potentiële achterdeur heeft. Enkele van de opmerkelijke beveiligingslekken en schijnbaar opzettelijke kwetsbaarheden die in de firmwarebestanden zijn achtergebleven, zijn onder meer hardgecodeerde inloggegevens die kunnen worden gebruikt als een achterdeur, onveilig gebruik van cryptografische sleutels. Het bedrijf beweerde ook "indicaties van slechte softwareontwikkelingspraktijken" te hebben waargenomen. In totaal beweert Finite State gemiddeld ongeveer 102 bekende kwetsbaarheden te hebben ontdekt in elke Huawei-firmware-image. Er waren naar verluidt ook aanwijzingen voor tal van zero-day-kwetsbaarheden.

Een interessant aspect dat tijdens de analyse naar voren kwam, was het gebruik van open-source softwarecomponenten door Huawei. Huawei vertrouwde regelmatig op OpenSSL. Het open source platform is een veelgebruikte cryptografische bibliotheek voor het beschermen en versleutelen van digitale communicatie. In eenvoudige bewoordingen wordt OpenSSL vaak gebruikt door websites om HTTPS in te schakelen. Huawei zou dergelijke open-sourcesoftware naar verluidt niet hebben bijgewerkt, beweerden de beveiligingsonderzoekers. "De gemiddelde leeftijd van open-source softwarecomponenten van derden in Huawei-firmware is 5,36 jaar." Bovendien zijn er "duizenden exemplaren van componenten die meer dan 10 jaar oud zijn." Blijkbaar heeft een deel van de verouderde en verouderde software de apparatuur van Huawei kwetsbaar gemaakt voor de beruchte Heartbleed, een zeer berucht en wijdverbreid virus in 2011.

Is Huawei het enige bedrijf dat open-source software gebruikt?

Het is belangrijk op te merken dat bedrijven die vergelijkbaar zijn met Huawei, vaak vertrouwen op open source software om de ontwikkeling en implementatie van software in hardware te versnellen. Bovendien ontdekken deze bedrijven vaak achterdeurtjes en kwetsbaarheden en haasten zich om deze te patchen. In wezen is het een veel voorkomende praktijk. Maar wat zelfs belangrijk is, is dat bedrijven de software vaak bijwerken en proberen de nieuwste of de meest stabiele versie te gebruiken die verschillende bugfixes heeft.

Momenteel zijn de belangrijkste concurrenten van Huawei Ericsson, Nokia en Cisco. Overigens ontwerpen al deze bedrijven hun eigen iteraties van high-speed, ultra-low latency 5G-netwerkapparatuur. Deze organisaties evalueren nog steeds de meest optimale combinatie van hardware om te voldoen aan de vele vereisten van 5G, waaronder een betrouwbare verbinding met het Internet of Things (IoT)-apparaten, verbonden auto's en andere elektronische apparaten. Hoewel 5G afhankelijk is van gevestigde technologieën en communicatieprotocollen, moet het platform veel geavanceerde technologie gebruiken. Bovendien heeft de nieuwe standaard voor mobiele communicatie een veel groter bereik dan alle voorgaande standaarden. Daarom is het van cruciaal belang om een ​​sterke beveiliging op te zetten en een datalek of informatielek te voorkomen.