Secondo un nuovo studio compiuto da alcuni esperti di sicurezza informatica, i prodotti del gigante delle telecomunicazioni cinese Huawei contengono una serie di difetti che li rendono molto più vulnerabili ad attacchi hacker, rispetto a tutti gli apparecchi concorrenti.
La ricerca, pubblicata il 26 giugno dalla società di sicurezza informatica Finite State, ha analizzato circa 10 mila immagini del firmware che supportano gli oltre 550 dispositivi della linea di prodotti Huawei e ha riscontrato che il 5 per cento di esse può contenere almeno una potenziale backdoor.
Il firmware è un software che consente l’esecuzione dell’hardware in un computer. La ricerca ha affermato che queste potenziali backdoor potrebbero consentire a Huawei o a un malintenzionato di hackerare il sistema dell’apparecchio: «I dispositivi Huawei rappresentano un rischio elevato per i loro utenti», hanno affermato gli autori dello studio, specificando inoltre che «in quasi tutte le categorie esaminate, i dispositivi Huawei sono risultati meno sicuri rispetto a quelli di altri produttori che realizzano dispositivi simili».
Lo studio afferma che sono state trovate in media 102 vulnerabilità conosciute in ciascun dispositivo Huawei testato, e ha fatto notare che il più alto numero di vulnerabilità rilevate in un firmware è stato di 1.419. La conclusione in seguito a queste scoperte è stata che gli ingegneri di Huawei hanno «sistematicamente» compiuto pessime decisioni in materia di sicurezza per i dispositivi testati.
Matt Wyckhouse, fondatore di Finite State, in una dichiarazione del 26 giugno ha affermato: «Nonostante le affermazioni di Huawei sugli investimenti in sicurezza, l’azienda sembra essere molto indietro rispetto a tutti gli altri in questo settore, in quasi ogni aspetto. Questo generale aspetto di debole sicurezza riguarda e ovviamente aumenta i rischi per la sicurezza associati all’uso dei dispositivi Huawei»
La ricerca non ha valutato se i difetti di sicurezza fossero stati introdotti intenzionalmente o accidentalmente; tuttavia un funzionario della Casa Bianca (che ha voluto rimanere anonimo) ha esaminato il rapporto e ha dichiarato al Wall Street Journal che lo studio «supporta la nostra valutazione secondo cui dal 2009 Huawei ha mantenuto l’accesso nascosto ad alcuni dei sistemi che ha installato per i clienti internazionali. Huawei non rivela questo accesso segreto né ai clienti né ai governi locali. Questo accesso segreto consente a Huawei di registrare le informazioni e modificare i database su tali sistemi locali».
Wyckhouse ha sostenuto che la scoperta è «particolarmente preoccupante visto il dominio di Huawei nell’attuazione del 5G» e ha suggerito che i governi che implementeranno le reti 5G tengano ben conto di questi rischi: i responsabili delle politiche dovrebbero prendere decisioni basate su dati certi, relativi a quali siano i rischi realmente esistenti e a quali no, e in base a quali rischi siano disposti correre.
Un funzionario di Huawei ha risposto al Wall Street Journal di non poter commentare le specifiche della ricerca perché non sono state condivise interamente con la società.
Sempre più nazioni rigettano Huawei
I risultati dello studio si aggiungono alle crescenti preoccupazioni per la sicurezza sorte da parte di funzionari, legislatori ed esperti occidentali, i quali affermano che le attrezzature di Huawei potrebbero essere citate in giudizio per spionaggio o per interferenze nei confronti delle reti di comunicazione.
La società, il principale fornitore mondiale di apparecchiature di rete 5G, è stata bandita o limitata nell’ambito della fornitura di tecnologia per le reti 5G negli Stati Uniti, in Australia, in Nuova Zelanda e in Giappone.
Il 25 giugno la commissione per le relazioni estere del Senato degli Stati Uniti ha approvato una risoluzione con un voto unanime che riconosce Huawei e la sua controparte cinese Zte come una minaccia alla sicurezza nazionale.
A maggio, l’amministrazione statunitense ha messo il fornitore di servizi di telecomunicazione e 69 delle sue controllate in una blacklist commerciale per motivi di sicurezza, vietandole effettivamente di fare affari con le aziende statunitensi.
Nel frattempo, la compagnia sta anche combattendo due accuse federali negli Stati Uniti. Nel primo caso, il Dipartimento di Giustizia accusa Huawei di aver rubato segreti commerciali al fornitore di telefonia mobile statunitense T-Mobile, mentre la seconda accusa addebita alla società la violazione delle sanzioni statunitensi contro l’Iran.
L’ente governativo di ricerca e studio sulla sicurezza informatica del Regno Unito, in una sua ricerca rilasciata il mese di marzo, ha criticato la compagnia per «difetti seri e sistematici nell’ingegneria del software Huawei e nelle competenze di sicurezza informatica».
Lo studio statunitense infatti ha menzionato anche questa ricerca britannica che sostiene di non avere più fiducia nella capacità di Huawei di affrontare questi «difetti basilari», nonostante l’impegno dell’azienda a spendere più di 2 miliardi di dollari per risolverli.
Un funzionario britannico della sicurezza informatica ha recentemente affermato che la sicurezza di Huawei è «scadente e oggettivamente peggiore» rispetto ai suoi rivali internazionali.
Secondo Reteurs, Ian Levy, direttore tecnico del National Cyber Security Center della Gran Bretagna, ha affermato in una conferenza di giugno a Londra: «Huawei come azienda costruisce cose molto diverse dalle loro controparti occidentali. Parte di questo è a causa di quanto velocemente sono cresciuti, parte di esso potrebbe essere culturale, chissà».
Secondo il Times in una conferenza del 25 giugno a Londra, Woody Johnson, ambasciatore degli Stati Uniti nel Regno Unito, ha avvertito la Gran Bretagna di non consentire a Huawei di costruire la sua rete 5G perché «è come lasciare entrare un cleptomane in casa tua».
Articolo in inlgese: Huawei Devices Much More Vulnerable to Hacking Than Competitors’ Products, Report Says
