Очередные проблемы с безопасностью Huawei. Но она может быть не при чем

  2. Темы
  3. Гаджеты
Артем Сутягин 0
22.09.2020,

Вот какая же хорошая присказка существует — ”никогда не было и вот опять”. Она как ничто другое описывафет ситуацию вокруг китайских компаний. Часто с подобными проблемами сталкиваются и другие производители, но именно китайские грешат этим куда более часто. Вот и сейчас нашлась новая уязвимость из разряда тех, которые принято называть бэкдорами. Она нашлась на уровне железа, которое производит дочерняя компания Huawei — HiSilicon. Эта уязвимость позволяет не просто следить за жертвой, но даже перехватывать управление ее устройством. Вот такая неприятная особенность железа иногда встречается. Но давайте поговорим об этом поподробнее.

Безопасность Huawei

У Huawei очередные проблемы с безопасностью. Но виновата ли она?

Уязвимость Huawei

Суть проблемы заключается в том, что оборудование, отвечающее за обработку видео, содержит несколько критических ошибок безопасности, которые позволяют удаленному неаутентифицированному злоумышленнику запускать произвольный код на этом оборудовании.

В сообщении, опубликованном на этой неделе, Алексей Коженов, ведущий инженер по безопасности продуктов в Salesforce, рассказал более подробно о проблемах с чипсетом hi3520d, созданным HiSilicon — дочерней компании Huawei. Бреши в безопасности присутствуют в программном обеспечении, разработчик которого неизвестен.

Уязвимости существуют в прикладном программном обеспечении, работающем на этих устройствах — сказал Коженов в своем сообщении. — Все уязвимости могут использоваться удаленно и могут привести к раскрытию конфиденциальной информации, отказу в обслуживании и удаленному выполнению кода. Последнее может привести к полному захвату устройства.

К критическим недостаткам относятся: административный интерфейс с паролем бэкдора, root-доступ через telnet и загрузка файла без аутентификации, что позволяет выполнять вредоносный код и внедрять команды. Все это может быть удаленно использовано для захвата уязвимого оборудования. Коженов также отметил уязвимости высокой и средней степени серьезности, а именно — переполнение буфера и способ доступа к видеопотокам RTSP без авторизации.

Многим написанное может ничего не сказать, но достаточно просто знать, что воспользовавшись этим, злоумышленники могут перехватить управление вашим устройством или скачать с него личную информацию

Безопасность

Безопасность превыше всего!

Как Huawei относится к безопасности

Huawei настаивает, что уязвимости не связаны с ее чипами HiSilicon или кодом SDK, который она предоставляет производителям, использующим ее компоненты. Если это правда, то случившиеся является чуть ли не совпадением. Теоретически может быть такое, что устройства, которые подвержены уязвимостям, кроме чипа HiSilicon, получили другое оборудование и программное обеспечение, дырявое, как швейцарский сыр.

В заявлении компании, размещенном в Интернете, представитель Huawei сказал: ”После сообщений СМИ о предполагаемых проблемах безопасности в чипах видеообработки HiSilicon 16 сентября 2020 года компания Huawei начала немедленное расследование. После технического анализа было подтверждено, что ни одна из уязвимостей не была внесена чипами HiSilicon. Huawei выступает за скоординированное раскрытие уязвимостей всеми организациями и отдельными лицами из сферы безопасности. Так можно будет уменьшить влияние на результат расследования”.

Координационный центр CERT CMU сообщил, что уязвимости существуют в различных сетевых службах, работающих на устройствах разных производителей, использующих компоненты HiSilicon. Они являются результатом ошибок программного обеспечения, таких, как недостаточная проверка ввода и жестко заданные учетные данные.

Мы думаем, что риску подвержены только смартфоны и компьютеры, но это не так.

Какие уязвимы для взломщиков

Коженов говорит, что он проанализировал декодеры от URayTech, J-Tech Digital и Pro Video Instruments и обнаружил, что их устройства уязвимы с точки зрения некоторых или всех обнаруженных недостатков. Он также определил несколько других поставщиков, предлагающих продукты, основанные на том же чипсете, и полагает, что они тоже могут иметь указанные выше недостатки безопасности. Среди них оборудование от Network Technologies Incorporated, Oupree, MINE Technology. Blankom, ISEEVY, Orivison, WorldKast / procoder и Digicast.

Как я начал терять веру в Huawei и что будет с компанией дальше

Такое положение дел не может радовать компанию, которая и так находится в сложной ситуации. Пока ее бизнес по производству телефонов рушится на части, Huawei старается сберечь хоть что-то. Такие скандалы и обнаруженные уязвимости явно не способствуют этому.

Как будут развиваться события дальше, покажет время, но на данном этапе предложение расследования от Huawei выглядит самым правильным решением для нее. Она первая из тех, кто заинтересован в установлении истины.

Теги
Лонгриды для вас
Разрешения Android
Как узнать, какие приложения на Android используют микрофон, камеру, интернет

Мы зачастую не уделяем должного внимания приложениям, которыми пользуемся. Понятное дело, что большинство из нас не скачивают что попало, а выбирают только то, что нужно. Но это не отменяет того факта, что приложения – независимо от того, насколько мы им доверяем – могут представлять опасность. Нет, я сейчас не говорю о майнинге криптовалюты или воровстве денег с ваших банковских счетов. Я говорю о слежке, которую приложения могут устанавливать без вашего ведома. Ну, как без вашего… На самом деле с вашего, просто вы, как правило, об этом не подозреваете.

Читать далее
Стенд Huawei
Huawei готовит лидар для беспилотных автомобилей. Нужен запасной вариант

Когда компания упирается в какой-то потолок своего развития или когда у нее начинаются явные проблемы с бизнесом, она часто ищет какие-то альтернативные пути развития. Примерно в таком положении сейчас находится Huawei, которая должна преодолевать трудность за трудностью. Похоже, сейчас компания понимает, рынок меняется и выжить только за счет ее крутых смартфонов у нее не получится. Да и что делать, если она в какой-то момент вообще не сможет их производить. Конечно, она много зарабатывает на телекоммуникационном оборудовании, но альтернативные пути все равно нужны и, похоже, китайская компания нашла их в беспилотных автомобилях. Звучит немного странно, учитывая ее профиль, но определенный смысл в этом есть.

Читать далее
Huawei P50
Новые смартфоны Huawei на Kirin продолжат выходить. Как это возможно?

Помните, что чуть ли не всем бывшим партнерам Huawei запрещено с ней работать? Даже те редкие компании, которые получили на это разрешение, все равно не могут производить то, что будет обеспечивать работу в сетях 5G. Но что за флагман, который не поддерживает сегодня эти сети? Чтобы флагманы компании соответствовали всем лучшим традициям и трендам, она решила строить их на базе процессоров Kirin 9000. Вы спросите, как такое возможно, если TSMC больше не может производить эти чипсеты, но ответ может оказаться довольно простым и банальным. Самое главное, что компания не собирается сдаваться и готовится делать новые флагманы на передовых компонентах. А мы сейчас разберемся, как такое вообще будет возможно.

Читать далее
Новый комментарий