Eine Untersuchung von Telekommunikations-Equipment diverser Hersteller hat ergeben, dass von Huawei bereitgestellte Geräte wohl anfälliger für Hacks sind, als das Equipment der Konkurrenz. Sicherheitstechnisch schneiden Huawei-Geräte extrem schlecht ab.
Anzeige
Interessanter Fundsplitter im Web. Das Wallstreet Journal (WSJ) zitiert einen Report (der Artikel ist leider hinter einer Paywall), der sich mit Sicherheitslücken in Telekommunikationsausrüstung befasst.
Die Kernaussage des WSH: Telekommunikationsausrüstung der chinesischen Huawei Technologies Co. enthält mit weitaus größerer Wahrscheinlichkeit Fehler, die von Hackern für böswillige Zwecke genutzt werden könnten, als Geräte von konkurrierenden Unternehmen. Das hat eine neue Untersuchungen von Cybersicherheitsexperten ergeben.
(Quelle: Pexels Josh Sorenson)
Diese wird, laut WSJ, von führenden US-Regierungsoffiziellen als glaubwürdig bezeichnet. Diese fühlen sich in 'ihre Angst vor Risiken' beim Einsatz von Netzwerkaufrüstung durch Huawei bestätigt. Allerdings enthält der Bericht keine Anschuldigug, dass Huawei bewusst Schwachstellen und Fehler in die untersuchten Systeme eingebaut habt.
Anzeige
Fast 10.000 Firmware-Images untersucht
Die Sicherheitsforscher des IoT-Sicherheitsunternehmens Finite State haben dazu fast 10.000 Firmware-Images, die in mehr als 500 Variationen für in Unternehmensnetzwerken eingesetzten Geräten verwendet werden. Mehr als die Hälfte der fast 10.000 getesteten Firmware-Images enthielt mindestens eine solche ausnutzbare Schwachstelle, fanden die Forscher heraus. Und Huaweis Firmware war dabei wohl häufiger als der Mitbewerb vertreten. Das Ganze ist im PDF-Dokument Finite State: Supply Chain Assessment – Huawei Technologies Co., Ltd. zusammen gefasst.
Der obige Screenshot stammt aus dem Bericht und bescheinigt der Huawei-Hardware ein signifikant höheres Risiko in sechs von neun Kategorien, verglichen mit den Geräten von Juniper oder Arista. Das Huawei Equipment hat substantiell mehr bekannte Schwachstellen als der Mitbewerb und es schlummern nach Aussage des Reports 2-8 Mal mehr 0-day-Schwachstellen in den Produkten. Huawei liefert als einziger Anbieter Geräte, wo Zugangsdaten und kryptografische Schlüssel hardcodiert in der Firmware abgelegt sind.
Vernichtendes Urteil für Huawei
ZDnet.com hat das Thema in diesem Artikel aufgegriffen. Die Sicherheitsforscher des IoT-Sicherheitsunternehmens Finite State haben eine vernichtende Bewertung des Sicherheitszustandes in der Firmware von Huawei-Netzwerkgeräten abgegeben haben. Zitat: "Es gibt substanzielle Hinweise darauf, dass Zero-Day-Schwachstellen aufgrund von Memory Corruption reichlich in der Huawei-Firmware vorhanden sind".
Man kann das natürlich alles als politisches Geplänkel abtun, und den Bericht als 'bestellt' klassifizieren. Aber es deutet sich schon an, dass die Chinesen es mit der Sicherheit nicht so genau zu nehmen scheinen. Zumindest wird Ericsson, Nokia und Cisco eine höhere Qualität der Gerätesoftware in Sachen Sicherheit bescheinigt. Möglicherweise sind die Warnungen vor dem Einsatz von Huawei-Komponenten in den neu aufzubauenden 5G-Netzen nicht gänzlich von der Hand zu weisen. Es braucht schon gute Argumente, warum es jetzt trotzdem Huawei sein muss.
An dieser Stelle halte ich mich mal mit Bewertungen zurück. Ich hatte hier im Blog ja an diversen Stellen geschrieben, dass der Hang in China, alles und jeden zu überwachen, eher kontraproduktiv für Datenschutz und Sicherheit sein könnte. Möglicherweise bestätigt sich genau das jetzt.
Ähnliche Artikel
Cloud Hopper: 'Chinesen' hacken erfolgreich IBM, HPE und Co.
Managed Service Providern (MSP) gehackt, Ransomware an Kunden verteilt
Hacker stehlen Meta-Daten-Aufzeichnungen von Telefonaten
Spionage: Computer über Lieferketten infiltrieren
Spionage: Verizon USA unter Druck wegen Huawei-Phone
Amazon, Apple und die China-Spionage-Chips …
EU-Kommissar mahnt zur Vorsicht gegenüber Huawei
Verwirrung um von Vodafone entdeckte Huawei 'Backdoor'
Schwere Sicherheitslücken im Huawei PCManager für Windows
Die Causa Huawei und die Industriespionage
Google setzt Zusammenarbeit mit Huawei aus
BSI: China-Handy mit vorinstallierter Malware (Juni 2019)
Europäischer Mobilfunkverkehr über China umgeleitet
Chinas Geheimdienst nutzte NSA-Tools vor Shadow Broker
Nokia 7 Plus: Aktivierungsdaten gehen an China Mobile
Amazon, Apple und die China-Spionage-Chips …
Social Scoring in China
Anzeige
ich lese mehr ueber cisco-schwachstellen – erst heute wieder.
HEISE:
"Kritische Lücken in Cisco Data Center Network Manager… Um die Schwachstellen auszunutzen, muss ein Angreifer lediglich präparierte Pakete hochladen oder spezielle vorbereitete HTTP-Anfragen abschicken… In diesem Stadium gelten Netzwerkgeräte als komplett kompromittiert und Angreifer haben die volle Kontrolle."
Genau das ging mir gerade auch durch den Kopf und Cisco auf eine Stufe bei den Netzwerkausrüstern mit Nokia und Ericsson zu stellen, ist schon kühn!
Im PDF wird Cisco wohl nicht umsonst ausgeklammert. Abgesehen davon hat auch der einstige Cisco Herausforderer Juniper in den letzten 10-15 Jahren so manches mal die Hosen heruntergelassen.
Die angeblichen Lücken oder CALLs ins Leere in den Firmware Images stammen ja vielleicht noch aus der Zeit als man einfach Ciscos IOS gedumpt hat 😜
"Huaweis Telekommunikationsausrüstung Sicherheitstechnis anfälliger als Mitbewerb"
Sind da einige Buchstaben in der Sonne weggebrutzelt? 😉
Saubere Arbeit hat schon immer länger gedauert und mehr gekostet, als Pfusch fabrizieren.
Irgendwie muss es möglich sein, dass manche Firmen alles billiger anbieten können, als die Übrigen.
Diese Fakten stellen sich in absolut jeder Branche gleich dar.
Probleme haben alle – das ist nichts neues. Aber hier ist das Ziel klar: der/die Mitbewerber soll(en) schlecht gemacht werden (auch nichts neues).
Das eigentliche Problem: Huawei hat keine "eingebaute" USA-Schnittstelle – also muss es per se schlecht und unsicher sein. Ob es eine "eingebaute" China-Schnittstelle hat? Wird behauptet, weis aber keiner so genau.
So wird ein Schuh draus!
Eigentlich müsste man sagen: Wer eine sichere Software hat, der werfe den ersten Stein…