Bloombergin painos, viime vuonna
Supermicro-levyissä olevasta vahvistamattomasta vakoojasirusta, Huawei-laitteiden takaoven tunnistamisesta. Ongelman löytänyt Vodafone kutsuu sitä kuitenkin haavoittuvuudeksi, ja Bloomberg liioittelee. Ilmeisesti takaovi ei ollut tahallinen takaovi, joka on lisätty ilkeämielisesti ja vakoilutarkoituksissa, vaan se johtui siitä, että tekninen tukiasema unohdettiin poistaa käytöstä tuotteen lopullisessa versiossa virheen vuoksi tai yksinkertaistaakseen diagnostiikkaa. tukipalvelu.
Vodafone tunnisti ongelman jo vuonna 2011, ja Huawei korjasi sen saatuaan ilmoituksen haavoittuvuudesta. Takaoven ydin on kyky päästä laitteeseen sisäänrakennetun telnet-palvelimen kautta. Kirjautumisorganisaation tietoja ei anneta; ei ole selvää, aktivoitiinko pääsy ennalta määritetyn suunnittelusalasanan kautta vai käynnistettiinkö telnet-palvelin tietyn tapahtuman tapahtuessa (esimerkiksi kun tietty verkkopakettien sarja lähetettiin). On huomattava, että vastaavia "takaovia", jotka mahdollistavat yhteyden muodostamisen telnetin kautta, on viime vuosina havaittu myös laitteissa , , , и .
Ongelman korjaamisen jälkeen Vodafone-insinöörit huomasivat, että etäkirjautumismahdollisuutta ei poistettu kokonaan ja telnet-palvelin voitiin silti käynnistää (ei ole selvää, mitä tarkoitetaan kieltäytymisellä poistamasta Telnet-palvelinta kokonaan laiteohjelmistosta tai jättämällä mahdollisuus käynnistääksesi sen tietyin edellytyksin). Huawei kommentoi telnetin kautta kirjautumismahdollisuuden saatavuutta tuotantovaatimuksilla - tätä palvelua käytetään laitteiden testaamiseen ja alkukonfigurointiin. Samaan aikaan Huawei on ottanut käyttöön mahdollisuuden poistaa palvelu käytöstä tämän vaiheen jälkeen, mutta itse telnet-palvelukoodia ei poistettu laiteohjelmistosta.
Lähde: opennet.ru