Problémem směrovačů Huawei je spíše zastaralost

Felix „FX” Lindner, bezpečnostní výzkumník ze společnosti Recurity Labs, analyzoval firmware směrovačů této značky a zjistil, že „kvalita kódu je jako z devadesátých let.” Zpravodajská služba Spojených států v pondělí informovala, že má Huawei Technologies neprůhledné vztahy s čínskou vládou, a proto je rozumné se jeho produktům vyhnout. Větší vrásky by však měly uživatelům způsobovat vnitřnosti směrovačů této značky.

Lindner bude o tomto problému mluvit ve čtvrtek na konferenci Hack in the Box, která probíhá v Kuala Lumpur. Kromě toho probere také další slabá místa, která společně s jinými výzkumníky odhalil začátkem tohoto roku.

Lindner začal zkoumat směrovače od Huawei společně se svým kolegou Gregorem Kopfem. V červenci na konferenci Defcon do detailů popsali zranitelná místa ve firmwaru Huawei AR18 pro domácnosti i směrovačů AR24, které jsou určené pro menší společnosti. „Vypadá to, že se viditelně snaží zabezpečení co nejrychleji vylepšit,” řekl Lindner.

Mimo kritiky ze strany Lindnera čelí Huawei také kritické zprávě, kterou tento týden vydala Stálá parlamentní komise pro výzvědné služby. Zpráva prohlašuje, že Huawei a další čínská společnost ZTE představují hrozbu pro americkou infrastrukturu a že vybavení těchto společností by mohlo být tajně upraveno čínskou zpravodajskou službou.

Obvinění uvedená ve zprávě jsou velmi mlhavá. Podle Lindnera zpráva „postrádá jasné důkazy.” To je také důvod, proč při hledání bezpečnostních problémů rozebral miliony řádků kódů směrovače. U Huawei našel nespočet problémů.

„Svým způsobem zprávu komise podporuji. Ne z těch důvodů, které uvádí zpráva, ale jednoduše kvůli nízké kvalitě,” řekl Lindner. „Raději bych měl státní síť od Cisca než od Huawei, ne kvůli tomu, že je Huawei z Číny, ale protože je Cisco kvalitnější.”

Zástupci Huawei po popsání zranitelných míst na Defconu prohlásili, že při výrobě důsledně dodržují všechny firemní zásady a řídí se těmi nejlepšími postupy v oboru. Značce přestořesto hrozí, že jakákoli slabina v programovém vybavení jejích směrovačů může vyvolat bouřlivou reakci provázenou obviňováním ze spolupráce s čínskou zpravodajskou službou.

Podle Lindnera je velmi složité zjistit, zda jde o úmyslná zadní vrátka do systému zařízení. Pokud například bezpečnostní výzkumník objeví zapomenutý účet technika, který nebyl před dokončením vývoje směrovače a jeho zavedením do výroby odstraněn, mohlo by to dát za pravdu kritikům, podle kterých společnost nejedná zcela eticky. „Taková chyba může bohužel útočníkovi otevřít cestu k získání oprávnění správce,” řekl Lindner.