La ricerca è stata sottoposta a funzionari di alto livello di agenzie governative americane e britanniche. I risultati dello studio e le reazioni

Le apparecchiature per le telecomunicazioni prodotte da Huawei avrebbero molte più probabilità di contenere difetti sfruttabili dagli hacker, rispetto a quelle delle società concorrenti. A sostenerlo è una ricerca condotta da esperti di sicurezza informatica della società americana di cyber security Finite State, presentato a funzionari di alto livello di agenzie governative americane e britanniche.

IL REPORT

Il report, di cui dà notizia il Wall Street Journal, parla di numerose falle nei prodotti del colosso di Shenzhen, ritrovatosi al centro dello scontro globale tra Washington e Pechino. Ma lo stesso studio non “accusa la società di crearli deliberatamente nei suoi prodotti”. Anche per questo, e in assenza dettagli, un dirigente della compagnia cinese ha spiegato alla testata economica che l’azienda vede di buon occhio i test indipendenti, ma di non poter commentare l’analisi in assenza di dati approfonditi sulle vulnerabilità riscontrate.

LA RICERCA

Il rapporto ha analizzato 10mila immagini di un firmware (un programma, ovvero una sequenza di istruzioni, integrato direttamente in un componente elettronico programmato), inserito in oltre cinquecento varianti di dispositivi di rete aziendali. La metà di queste, dopo il test dei ricercatori, ha fatto emergere almeno una vulnerabilità sfruttabile. La società ha inoltre affermato che il tasso di vulnerabilità riscontrato nelle apparecchiature Huawei sarebbe di gran lunga superiore alla media dei dispositivi fabbricati dai suoi concorrenti (soprattutto Arista e Juniper), e che il 55% delle immagini firmware testate ne conterrebbe qualcuna. Il rapporto include un case study che confronta uno degli switch di rete high-end di Huawei con dispositivi simili.

I CONTENUTI

Il rapporto documenta quelli che vengono definiti estesi difetti di sicurezza informatica. Questi ultimi sembrano presenti nei vari prodotti Huawei a causa di un modello di sicurezza “scarso” al quale, tuttavia, la compagnia non sembra porre riparo. Un motivo, per gli esperti, per trovare conferma nei timori americani circa i rischi collegati all’utilizzo di prodotti di colossi cinesi della tecnologia.

UNA QUESTIONE DI SICUREZZA NAZIONALE

Il Dipartimento del Commercio ha citato proprio le preoccupazioni per la sicurezza nazionale per giustificare l’inserimento del gigante delle telecomunicazioni nella sua ‘lista nera’; una mossa che impedisce alle aziende Usa di fornire tecnologia a Huawei senza l’approvazione del governo. Chris Krebs, il più alto funzionario per la sicurezza informatica presso il Department of Homeland Security, è stato chiaro in merito, commentando che la ricerca di Finite State avrebbe di fatto solo aggiunto altre preoccupazioni nei riguardi delle apparecchiature Huawei oltre a quelle già note. Mentre i funzionari della Casa Bianca che hanno esaminato il rapporto avrebbero detto – riporta il Wsj – che i risultati generano ulteriori sospetti, perché rivelano violazioni imponenti dei protocolli standard. Dei dispositivi testati, il 29% aveva almeno un nome utente e una password predefiniti e codificati nel firmware, una modalità che potrebbe facilitare l’accesso a malintenzionati.

L’OPINIONE DI LONDRA

Anche il National Cyber Security Center del Regno Unito ha provveduto ad esaminare la ricerca di Finite State trovandola ampiamente allineata con l’analisi tecnica contenuta nel rapporto dell’agenzia, che ha accusato la Huawei di aver ripetutamente evitato di affrontare i difetti di sicurezza noti nei suoi prodotti e ha ammonito l’azienda per non aver dimostrato impegno nel risolverli. Washington e Londra non sono però state finora d’accordo su come procedere: mentre gli Stati Uniti sottolineano l’importanza di impedire l’accesso di Huawei alla catena di approvvigionamento globale delle telecomunicazioni, il Regno Unito al momento ha scelto di non escludere la compagnia da progetti come quello del 5G, preferendo operare differenze tra parti ‘core’ (da proteggere) e altre componenti. Questa distinzione, però, avvertono gli Usa, potrebbe non essere sufficiente per limitare i rischi di sicurezza associati alle nuove reti mobili ultraveloci.

Condividi tramite