Huawei(ソース-Huaweiプレスイベント)
米国は、Huaweiがデジタルセキュリティを脅かしていると長い間主張してきました。現在、セキュリティ会社は、中国の会社が展開したソフトウェアのかなりの数で、悪用される可能性のあるいくつかのバックドアを発掘したと主張しています。 5Gネットワーキングを展開する競争が加速するにつれて、そのような主張は、世界中の通信およびネットワーキングの巨人のビジネスの見通しをさらに危険にさらす可能性があります。
IoTセキュリティ会社FiniteStateの研究者は、中国の通信大手であるHuaweiの機器の半分以上に「少なくとも1つの潜在的なバックドア」があることを明らかにしました。 Huaweiのネットワークデバイスファームウェアに欠陥があったという実質的な証拠があります。欠陥は、脆弱にするために意図的に展開された可能性があると同社は主張しています。同社は、ネットワーク機器にインストールされているHuaweiのソフトウェアについて調査を行っている間、次のように述べています。「Huaweiファームウェアには、メモリの破損に基づくゼロデイ脆弱性が豊富にあるという実質的な証拠があります。要約すると、既知のリモートアクセスの脆弱性とバックドアの可能性を含めると、Huaweiデバイスは潜在的な侵害のリスクが高いように見えます。」
有限状態のセキュリティ研究者が導き出した結論は、スパイ機関GCHQのユニットである英国の国立サイバーセキュリティセンター(NCSC)のテクニカルディレクターであるIanLevyが今月初めに引き出したものと非常に似ているようです。当時、Levyは、中国企業の5Gネットワーク機器を中国が広範に国が後援するスパイキャンペーンを実施するために使用できるという永続的な主張に対してHuawei機器の評価を終了したばかりでした。 Levyは、Huaweiが機器に導入したセキュリティ対策は、有線および無線ネットワークビジネスのすべての競合他社と比較して「客観的に悪く、見苦しい」とはっきりと主張していました。 「技術的なサプライチェーンセキュリティの観点から、Huaweiデバイスは私たちがこれまでに分析した中で最悪のもののいくつかです」とLevyは主張しました。
ザ・ 研究者は彼らの報告書に記しました セキュリティを改善するというHuaweiの公約にもかかわらず、分析により、Huaweiの「セキュリティ体制」は実際には「時間の経過とともに減少している」ことが明らかになりました。研究者たちは、約558のHuaweiエンタープライズネットワーキング製品を精査したと主張しました。伝えられるところによると、彼らは約10,000のファームウェアイメージ内の150万のファイルをくまなく調べました。
Huaweiは100を超えるセキュリティの欠陥と脆弱性を残しましたか?
分析の結果、ファームウェアイメージの55%以上に少なくとも1つの潜在的なバックドアがあることが明らかになりました。ファームウェアファイル内に残された注目に値するセキュリティの抜け穴と一見意図的な脆弱性のいくつかには、暗号化キーのバックドアで安全でない使用として使用される可能性のあるハードコードされた資格情報が含まれます。同社はまた、「不十分なソフトウェア開発慣行の兆候」を観察したと主張した。全体として、有限状態は、各Huaweiファームウェアイメージで平均して約102の既知の脆弱性を発見したと主張しています。伝えられるところによると、ゼロデイ脆弱性の証拠も多数ありました。
「ファーウェイには体系的な問題があり、それがここで示すことができます。」 Huaweiネットワーク機器の大規模なセキュリティプローブは、中国企業のギアがユーザーに高いリスクをもたらすことを発見しました/ via @globeandmail https://t.co/da3nnnAwdC
—スティーブンチェイス(@stevenchase) 2019年6月26日
分析中に明らかになった興味深い側面の1つは、Huaweiによるオープンソースソフトウェアコンポーネントの使用でした。 Huaweiは定期的にOpenSSLに依存していました。オープンソースプラットフォームは、デジタル通信を保護および暗号化するために一般的に使用される暗号化ライブラリです。簡単に言うと、OpenSSLはHTTPSを有効にするためにWebサイトでよく使用されます。伝えられるところによると、Huaweiはそのようなオープンソースソフトウェアの更新に失敗したとセキュリティ研究者は主張した。 「Huaweiファームウェアのサードパーティのオープンソースソフトウェアコンポーネントの平均年齢は5.36歳です。」さらに、「10年以上経過したコンポーネントのインスタンスが数千もあります」。明らかに、古くて時代遅れのソフトウェアのいくつかは、Huaweiの機器を、2011年に非常に悪名高く広く蔓延したウイルスである悪名高いHeartbleedに対して脆弱なままにしました。
Huaweiはオープンソースソフトウェアを使用している唯一の会社ですか?
Huaweiと同様の企業は、ソフトウェアの開発とハードウェアへの展開を加速するために、オープンソースソフトウェアに依存することが多いことに注意することが重要です。さらに、これらの企業はしばしばバックドアや脆弱性を発見し、それらにパッチを当てようと急いでいます。本質的に、それは非常に一般的な方法です。しかし、さらに重要なのは、企業がソフトウェアを更新し、いくつかのバグ修正が施された最新または最も安定したバージョンを使用しようとすることが多いということです。
シンガポールはHuaweiおよび5Gネットワークでオプションを開いたままにします https://t.co/kXLKx2TFVG
—ファイサルS。(@ whiz913) 2019年6月27日
現在、Huaweiの主な競合相手は、Ericsson、Nokia、およびCiscoです。ちなみに、これらの企業はすべて、高速、超低遅延の5Gネットワーク機器の独自のイテレーションを設計しています。これらの組織は、モノのインターネット(IoT)デバイス、コネクテッドカー、その他の電子デバイスへの信頼性の高い接続など、5Gの多くの要件を満たすためのハードウェアの最適な組み合わせをまだ評価しています。 5Gは確立されたテクノロジーと通信プロトコルに依存していますが、プラットフォームは多くの最先端テクノロジーを使用する必要があります。さらに、新しいモバイル通信規格は、以前のすべての規格と比較してはるかに広範囲に及んでいます。したがって、強力なセキュリティを設定し、データ侵害や情報漏えいを防ぐことが重要です。
タグ Huawei
