Huawei tarmoq uskunasida kamida bitta potentsial orqa eshik mavjud.
Mikrodasturning eng so’nggi versiyasiga ega qurilmalardan birida mutaxassislar jami 1419 ta zaiflikni aniqladilar.
Xitoyning Huawei telekommunikatsiya kompaniyasi tomonidan ishlab chiqarilgan tarmoq qurilmalarining yarmidan ko’pining proshivkalarida kamida bitta potentsial orqa eshik mavjud. Bu yakuniy davlat tadqiqotchilari tadqiqotdan so’ng kelgan xulosa. Ular Huawei’ning qurilma xavfsizligini yaxshilash haqidagi da’volariga qaramay, vaziyat “vaqt o‘tishi bilan yomonlashayotganini” ta’kidlamoqda. Natijada, xitoylik ishlab chiqaruvchining uskunalari uzoqdan kirishga ruxsat beruvchi ma’lum zaifliklar va potentsial orqa eshiklar mavjudligini hisobga olgan holda yuqori darajadagi murosaga kelish xavfi ostida.
Tadqiqotchilar Huawei korporativ tarmoq uskunalari liniyalarining 558 ta mahsulotida foydalanilgan taxminan 10 000 ta proshivka tasviridagi 1,5 million faylni tahlil qilishdi va mikrodasturning 55% dan ortig‘ida kamida bitta potentsial orqa eshik mavjudligini aniqladilar. Ular orasida oʻrnatilgan hisob maʼlumotlari, kriptografik kalitlardan xavfsiz foydalanish va “dasturiy taʼminotning yomon ishlab chiqilishi belgilari” kiradi.
Mutaxassislarning fikriga ko’ra, bitta proshivka tasviri ko’plab yangi xatolar bilan birga o’rtacha 102 ta ma’lum zaiflikni (ularning muhim qismi muhim muammolar va yuqori darajadagi zaifliklar) o’z ichiga oladi. Bundan tashqari, proshivkaning eng so’nggi versiyasida ishlaydigan bitta qurilmada mutaxassislar jami 1419 ta zaiflikni aniqladilar.
Asosiy muammolardan biri shundaki, Huawei o’z mahsulotlarida joriy qiladigan ochiq kodli dasturiy ta’minot komponentlarini (xususan, OpenSSL kriptografik kutubxonasi) yangilay olmaydi. Tadqiqotchilarning fikriga ko’ra, foydalanilgan dasturiy ta’minot versiyalarining o’rtacha yoshi 5,36 yilni tashkil etadi va ba’zi hollarda proshivka 10 va hatto 20 yil oldin chiqarilgan dasturiy ta’minot versiyalarini amalga oshiradi. Misol uchun, Huawei proshivkalarining ba’zilari 1999-yildan boshlab OpenSSL versiyasini qo’llaydi. Shuningdek, kompaniyaning mikrodasturidagi 389 ta ikkilik fayl Heartbleed (CVE-2014-0160) ga zaif ekanligi aniqlandi, bu esa TLS shifrlash bilan himoyalangan maxfiy ma’lumotlarni o’g’irlash imkonini beradi.
