Az olasz Swascan kutatói néhány nappal ezelőtt tették közzé a cég hivatalos blogján, hogy kritikus sérülékenységeket fedeztek fel a Huawei bizonyos webes alkalmazásainak és szervereinek működésében. A milánói székhelyű biztonsági cég szerint a hibákat kihasználva a potenciális támadók ügyféladatokhoz férhetnek hozzá, és beavatkozhatnak a vállalati rendszerek egyes folymataiba is. Ennél pontosabb információ azonban nem áll rendelkezésre a felfedezett sebezhetőségekről, a Huawei ugyanis a hibákat jelentő Swascannek nem engedélyezte a problémák részletesebb bemutatását.

A társaság csak a bugok természetéről írt egy szűkszavú közleményben: ennek alapján a lefoglalt memóriaterületen túli írás-olvasással és az operációs rendszereken távoli parancsfuttatással kapcsolatos támadások lehetőségéről van szó, amit a biztonsági kutatók a The Register kérdésére meg is erősítettek. Ahogy azt a lap beszámolója is kiemeli, a Huaweinek természetesen nincs semmiféle kötelezettsége a hibák pontos közzétételére, sőt az iparágban az sem lenne példa nélküli, ha teljes titoktartásra kötelezné a sérülékenységeket jelentő szakembereket.

A dolognak az ad némi jelentőséget, hogy ebben az esetben bevallottan kritikus problémákról beszélünk egy olyan társaság esetében, amely korábban már előadta, hogy a routereiben talált sérülékenységeket évekkel azután sem javította, hogy arról külső szervezetnél dolgozó szakemberek értesítették a vállalatot. Ugyanakkor az Egyesült Királyságban működő Huawei Cyber Security Assessment Center (HCSAC) tavasszal kiadott jelentése alapján a központ több száz komoly sebezhetőséget talált a cég termékeiben az előző év során, melyek kapcsán kiderült, hogy néhány korábban már azonosított problémát sem hárított el a kínai gyártó.

Időnként évekig is ülnek a frissítéseken

A Huawei az utóbbi időben az amerikai-kínai kereskedelmi háború egyik központi szereplőjévé vált, miután az Egyesült Államokban nemzetbiztonsági kockázatokra hivatkozva feketelistáta kerültek a cég termékei, közülük is elsősorban a Kínából származó telekommunikációs hálózati eszközök. Szándékos, kémkedésre alkalmas hátsó kapukról eddig senki sem mutatott be bizonyítékokat a Huawei gyártmányaiban (ilyenekről a HCSAC jelentésében sincs szó), azt viszont már sokadszor állapították meg, hogy a Huaweitől egyszerűen nem megfelelő színvonalú kódok kerülnek ki, és gyakran a fejlesztések során követendő biztonsági szabályokra sem figyelnek.

Az amerikai, IoT-rendszerekkel kapcsolatos biztonsági szolgáltatásokat nyújtó Finite State a múlt hónapban közölt hasonló megállapításokat. A cég a Huawei 558 különféle vállalati hálózati termékét vizsgálta meg közel 10 ezer firmware-kép és a hozzájuk kapcsolódó 1,5 millió fájl elemzésével, ami praktikusan 2019 áprilisáig a Huawei által kiadott firmware-ek 14 évét ölelte fel. A kutatás megállapításai nagyjából úgy foglalhatók össze, hogy az iparág legkevésbé biztonságos eszközeiről van szó – a Finite State is arra a következtetésre jutott, hogy a gyártó egyes termékei nagyon komoly biztonsági kockázatokat hordoznak, és ismét csak nem a szándékos ügyeskedés, hanem az elégtelen mérnöki munka miatt.

Elméletben persze nem zárható ki, hogy a felfedezett, potenciális hátsó kapukat rejtő sebezhetőségek szándékosan hibás konfiguráció eredményei, ami azért is érdekes, mert 2016 óta a kínai cégeket törvény kötelezi az ottani hírszerző szolgálatokkal való együttműködésre. Éppen ez az amerikai kifogások alapja, függetlenül attól, hogy hibák más gyártók termékeiben is előfordulnak, és éppen az USA a legjobb példa rá, hogy a piaci cégek titkosszolgálati megkörnyékezése vagy az államilag szponzorált kiberkémkedés nem kizárólag a kínaiak hitbizománya.

A Huawei természetesen nem győzi hangsúlyozni, hogy prioritásként kezeli a kiberbiztonságot, és aktívan folytatja műszaki eljárásainak és kockázatkezelési rendszereinek fejlesztését. A témában megszólaló szakértők már korábban is a beszállítói lánc problémáira hívták fel a figyelmet, ami klasszikus támadási vektornak számít nem csak az infrastrukturális elemek tesztüzemét, hanem a tömeges gyártás és szállítás ellenőrzését is beleértve.

Ahogy július elején mi is beszámoltunk róla, hogy a G20-as országok csúcstalálkozóján az amerikai fél bejelentette a Huawei elleni szankciók részleges feloldását, ami a gyakorlatban azt jelenti, hogy a kínai gyártó eszközei ezután is tiltólistán maradnak az Egyesült Államokban, de az amerikai szállítók ismét eladhatnak majd bizonyos technológiákat és technológiai termékeket a kínaiaknak. A Reuters riportjából ugyanakkor az is kiderült, hogy az exportszabályozásért felelős amerikai kormányügynökség tisztviselőinek egy belső iránymutatás szerint a lehető legszigorúbb módon kell elbírálniuk a technológiai kivitel iránti céges kereseteket.