U telefuninu di l’uffiziu cumunu puderia fughje infurmazioni à u guvernu cinese, u rapportu di u guvernu accusa

Un grande fabricatore di telefoni cinese puderia mette in risicu i cunsumatori, l'imprese è ancu i dati di sicurezza naziunale di i Stati Uniti, è un senatore di i Stati Uniti vole sapè ciò chì u Dipartimentu di u Cummerciu hà da fà.

Cum'è DefenseOne hà infurmatu prima , in una lettera di u 28 settembre ottenuta da Defense One, u Senatore Chris Van Hollen, D-Md., hà descrittu un rapportu chì "suscita gravi preoccupazioni per a sicurità di l'equipaggiu audiovisuale pruduciutu è vendutu in i Stati Uniti. Imprese cinesi cum'è Yealink.

Yealink ùn hà micca u ricunniscenza di u nome di u cuntruversu gigante di telecomunicazioni cinese Huawei , ma i so telefoni sò largamente installati in i Stati Uniti, ancu in l'agenzii di u guvernu. In settembre, Yealink è Verizon anu annunziatu i piani di vende "u primu telefuninu 4G/LTE di a nazione".

In a lettera, Van Hollen hà dumandatu à u Sicritariu di u Cummerciu Gina Raimondo se a so agenza hè cunuscenza di u rapportu di Chain Security, una cumpagnia di Virginia chì analizeghja l'elettronica per a sicurità. Hà dumandatu s'ellu cunsidereghja a so analisi credibile, è s'ellu hè cusì, ciò ch'ella vole chì Commerce facia.

Parechje di i prublemi di sicurità suscitati in u rapportu sò simili à quelli chì u guvernu di i Stati Uniti hà avutu per anni annantu à Huawei. In essenza, ci sò una quantità di difetti di sicurezza grossi, ma forse micca intenzionali, chì un avversariu puderia aduprà per arrubbari dati. Ma cù u telefuninu Yealink T54W in particulare, ci sò ancu alcune funzioni riguardanti chì sò chjaramente integrate apposta.

U rapportu hà indicatu u software Yealink chì cunnetta ogni telefunu à a reta lucale. Chjamatu a piattaforma di gestione di u dispositivu, o DMP, permette à l'utilizatori di fà chjamate da i so PC è amministratori di rete per gestisce i telefoni. Ma permette ancu à Yealink di registrà segretamente quelle telefonate è ancu di seguità i siti web chì l'utilizatori visitanu.

"Avemu osservatu chì se u telefuninu hè gestitu da a piattaforma di gestione di u dispositivu, è se u PC di l'utilizatore hè cunnessu à u telefunu per accede à una reta di l'area lucale, raccoglie infurmazioni nantu à ciò chì navighi" nant'à u vostru urdinatore. , hà dettu u CEO di Chain Security Jeff Stern. "U metudu di utilizà u telefuninu IP desktop cum'è u telefuninu Yealink cum'è un switch Ethernet per cunnette u PC à a reta di l'area lucale hè una pratica cummerciale cumuna. L'amministratore nantu à quella piattaforma pò ancu inizià una registrazione di chjama senza a cunniscenza di l'utilizatori … Ciò chì facenu hè di emette un cumandamentu à u telefunu per registrà e chjama.

Stern hà chiaritu chì "sta funzione hè destinata à l'usu da un impiegatu o rappresentante di un cliente di l'impresa. Tuttavia, ogni sistema hà un Superuser Administrator, o SYSADMIN. In questi tipi di sistemi, u SYSADMIN tipicamente hà accessu à tuttu. Certi sistemi muderni, soprattuttu dopu à Snowden, niganu sta capacità à u SYSADMIN. Ma avemu bisognu di assume chì questu ùn hè micca u casu quì è chì u Yealink DMP SYSADMIN hè in Cina ".

U rapportu di Chain Security nota chì l'accordu di serviziu di Yealink impone à l'utilizatori di accettà e lege di a Cina, mentre chì "un inseme di termini di serviziu cunnessu permette u monitoraghju attivu di l'utilizatori quandu hè necessariu da l'"interessu naziunale" (questu significa l'interessu naziunale di a Cina)."

Stern hà ancu nutatu chì u telefunu ùn usa micca certificati digitale per impediscenu cambiamenti micca autorizati à u so software. Chì rende assai più faciule per l'attaccanti di cumprumette i dati in u telefunu è potenzalmentu ancu tutta a reta à a quale hè cunnessu, senza attribuzione à Yealink. "Senza una sorta di monitor chì fighja ciò chì succede in u telefunu, ùn sapete micca chì questu firmware hè quì è pò fà tuttu ciò chì vulete in quantu à surviglià a vostra reta è a subnet. U scenariu chì ci preoccupa cun un dispositivu cum'è questu hè chì surviglierà a vostra rete è poi esfiltrarà … essenzialmente a vostra architettura di rete o a vostra implementazione di rete ".

A mancanza di un requisitu di firma di firmware ùn hè micca esattamente inaudita. Stern hà chjamatu un "vechju sbagliu". Ma hà dettu: "Ùn ci hè nisuna ragione chì i vechji errori cum'è questu duveranu cuntinuà à esse. Cume, questu hè male ".

Un portavoce di Verizon hà dettu chì u DMP di Yealink "hè statu custruitu per risponde à i bisogni persunalizati di Verizon" è chì a persunalizazione era ligata à a "securità; esposizione di gestione di funzioni à i dispositi attraversu u DMP; gestione firmware è diagnostica remota ".

Sta risposta hà lasciatu à Stern cù più dumande. "Quale hè chì face a persunalizazione di u firmware? [Verizon] hà una licenza per mudificà u codice fonte di u firmware? [Verizon] pensa à fà una prova di penetrazione nantu à u firmware prima di liberà à i so utilizatori? [Verizon] face l'analisi di sicurezza di u codice fonte nantu à tuttu u firmware chì riceve da Yealink?"

Stern hà ancu truvatu chì u telefuninu scambia missaghji criptati cù un servitore cloud basatu in Cina, Alibaba Cloud, parechje volte à ghjornu. Ùn pudete micca programà u telefunu per ùn fà micca cusì. Per piantà, avete da andà à u router di rete di l'impresa è pruibisce u scambiu. Ma s'è vo ùn sapete chì u telefonu facia lu in u primu locu, ci hè pocu chì vi pò fà à piantà lu.

Ci hè ancu una unità di microprocessore specializata da un fabricatore di chip cinese chjamatu Rockchip . Di sicuru, i chips chinesi sò in ogni tipu di dispusitivi è l'esperti di sicurezza ponu pruvà a maiò parte di elli per bug. Ma questu ùn hè micca passatu per a stessa prova perchè, dice Stern, Rockchip l'hà cuncepitu apposta per Yealink. "Questu hè chjaramente un pruduttu specializatu, basatu annantu à u numeru di mudellu sviluppatu per Yealink è ùn ci hè micca vulnerabilità documentata per mitigà. Eccettu chì ci sò vulnerabili, nò? Perchè tuttu hà vulnerabilità. Ùn hè solu chì nimu ùn ne raporta perchè hè un chip specializatu ", disse.

Questu ùn significa micca chì qualcosa hè sbagliatu cù u chip, esattamente, ma ùn hà micca ricevutu u listessu tipu di scrutiniu chì l'altri cumpunenti più largamente distribuiti ricevenu.

Un espertu di l'industria di telecomunicazioni chì hè familiarizatu cù u rapportu, ma ùn hà micca aiutatu à scrivelu è ùn hà micca affiliazione cù Chain Security, hà qualificatu a cumpagnia cum'è reputable. L'espertu ùn hà micca appruvatu nè disputatu alcunu di i risultati di u rapportu, ma hà dettu chì a lingua in l'accordu di serviziu di Yealink solu era abbastanza per ghjustificà una revisione da u guvernu. "U fattu chì voi [vale à dì Yealink] site ligatu da a lege cinese, hè qualcosa chì u guvernu hà bisognu di sapè."

Se u Dipartimentu di u Cummerciu investiga e preoccupazioni di u rapportu è li trova validi, Yealink puderia truvà nantu à una strada simile à quella di Huawei, postu nantu à una lista di tecnulugia infiducia chì i clienti di u guvernu ùn sò micca permessi di cumprà. L'espertu di l'industria hà dettu chì ùn ci era micca un prucessu stabilitu o un calendariu per tali determinazioni.

Stern hà dettu chì crede chì i telefoni Yealink eranu in l'uffizii di u guvernu, postu chì u mercatu di u guvernu per i telefoni IP hè di circa $ 300 milioni, da a so analisi, è Yealink hè unu di i primi dieci fornitori. Una ricerca web mostra i manuali Yealink caricati per riferimentu à i siti web di parechje agenzie lucali, statali è federali.

L'uffiziu di Van Hollen ùn hà micca furnitu alcun dettagliu supplementu perchè anu mandatu a lettera à u Dipartimentu di u Cummerciu. Un portavoce di Van Hollen hà dettu chì "a lettera parla veramente per sè stessu – u Senatore cerca solu più infurmazione".

U 28 dicembre, u Dipartimentu di Cummerciu hà rispostu à Van Hollen in una lettera separata ottenuta da Defense One. "Pigliemu queste cose in seriu", hà scrittu Wynn W. Coggins, Chief Financial Officer è Assistant Secretary for Administration. "U Dipartimentu di Cummerciu sparte e vostre preoccupazioni nantu à a sicurezza di a catena di fornitura di a Tecnulugia di l'Informazione è di a Comunicazione è di i servizii (ICTS) è e minacce à quella catena di fornitura presentate da i nostri avversari stranieri è travaglia attivamente per affruntà queste preoccupazioni.