Комментарии Украина

В роутерах Huawei нашли "самое удручающее" количество уязвимостей

1 августа 2012, 17:35 Станислав Молчанов

Эксперты раскритиковали Huawei за «удручающие» приемы программирования при разработке прошивок к роутерам

Как пишет "CNews.RU", критика прозвучала на конференции Defcon со стороны главы немецкого разработчика технологий защиты Recurity Labs Феликса Линднера.

 Huawei является вторым по величине поставщиком оборудования связи в мире после шведской Erisson и одним из самых быстро растущих. Примерно половина инфраструктуры глобальной сети базируется на оборудовании Huawei, сообщил Линднер.

 По словам эксперта, проблема в роутерах Huawei в том, что в их прошивке используется "код в стиле 90-х годов". В частности, небезопасные функции в прошивке вызываются около 10 тыс. раз.

 Некачественный код позволяет хакеру с легкостью получить доступ к устройству с правами администратора и изменить его настройки с целью полного перехвата проходящего через него трафика.

 Феликс Линднер назвал находку "самой удручающей" за всю свою практику эксперта по информационной безопасности. Его коллега Дэн Камински, известный за обнаружение серьезной уязвимости в системе DNS в 2008 г., также раскритиковал разработчиков Huawei.

 "Похоже, что за 15 лет практики написания безопасного кода, которой мы все занимались, инженеры Huawei не почерпнули для себя ничего полезного", – заявил он.

 По данным Линднера, уязвимости присутствуют в сериях роутеров AR и AR18 - первые предназначены для предприятий, вторые - для компаний малого бизнеса и для дома.

 Эксперт также пожаловался на отсутствие у Huawei прозрачности в том, что касается безопасности ее продуктов. Он указал на то, что у компании даже нет почтового адреса, куда можно было бы сообщить о найденной "дыре".

 "Властям Китая нет необходимости размещать бэкдоры в вашем оборудовании. Достаточно, чтобы вашу сеть оборудовали люди из Huawei", - говорит Линднер.

 "Маршрутизаторы, о которых идет речь, являются представителями предыдущего поколения устройств. Они были выпущены еще совместным предприятием H3C и уже сняты с производства, - прокомментировала представитель российского офиса Huawei Technologies Татьяна Фомичева. - Все сообщения об обнаружении уязвимостей тщательно проверяются группой CERT (Computer Emergency Response Team). По результатам проведения экспертной оценки принимается решение о необходимости извещения клиентов".