В роутерах Huawei нашли «самое удручающее» количество уязвимостей

Как пишет "CNews.RU", критика прозвучала на конференции Defcon со стороны главы немецкого разработчика технологий защиты Recurity Labs Феликса Линднера.

 Huawei является вторым по величине поставщиком оборудования связи в мире после шведской Erisson и одним из самых быстро растущих. Примерно половина инфраструктуры глобальной сети базируется на оборудовании Huawei, сообщил Линднер.

 По словам эксперта, проблема в роутерах Huawei в том, что в их прошивке используется "код в стиле 90-х годов". В частности, небезопасные функции в прошивке вызываются около 10 тыс. раз.

 Некачественный код позволяет хакеру с легкостью получить доступ к устройству с правами администратора и изменить его настройки с целью полного перехвата проходящего через него трафика.

 Феликс Линднер назвал находку "самой удручающей" за всю свою практику эксперта по информационной безопасности. Его коллега Дэн Камински, известный за обнаружение серьезной уязвимости в системе DNS в 2008 г., также раскритиковал разработчиков Huawei.

 "Похоже, что за 15 лет практики написания безопасного кода, которой мы все занимались, инженеры Huawei не почерпнули для себя ничего полезного", – заявил он.

 По данным Линднера, уязвимости присутствуют в сериях роутеров AR и AR18 — первые предназначены для предприятий, вторые — для компаний малого бизнеса и для дома.

 Эксперт также пожаловался на отсутствие у Huawei прозрачности в том, что касается безопасности ее продуктов. Он указал на то, что у компании даже нет почтового адреса, куда можно было бы сообщить о найденной "дыре".

 "Властям Китая нет необходимости размещать бэкдоры в вашем оборудовании. Достаточно, чтобы вашу сеть оборудовали люди из Huawei", — говорит Линднер.

 "Маршрутизаторы, о которых идет речь, являются представителями предыдущего поколения устройств. Они были выпущены еще совместным предприятием H3C и уже сняты с производства, — прокомментировала представитель российского офиса Huawei Technologies Татьяна Фомичева. — Все сообщения об обнаружении уязвимостей тщательно проверяются группой CERT (Computer Emergency Response Team). По результатам проведения экспертной оценки принимается решение о необходимости извещения клиентов".

Читайте Comments.ua в Google News