A qualche giorno di distanza dalla denuncia del ricercatore russo Vladislav Yarmak, Huawei è intervenuta in via ufficiale sulla questione relativa alla presunta backdoor implementata dalla sussidiaria HiSilicon nei chip commercializzati e destinati a un gran numero di dispositivi, inclusi quelli per la videosorveglianza. Una criticità che stando a quanto affermato consentirebbe la sottrazione di credenziali e il controllo remoto da parte di soggetti terzi facendo leva sul protocollo Telnet.
HiSilicon: la posizione di Huawei sulla backdoor
Il gruppo di Shenzhen respinge ogni accusa, parlando anzitutto di una poca chiarezza del report pubblicato: non vengono citati i modelli affetti dalla vulnerabilità né i loro produttori. Successive precisazioni fornite da altre parti coinvolte nell’analisi del problema sostengono che la falla sia presente solo nel firmware confezionato da Xiongmai Technology, società cinese con sede a Hangzhou.
Anche sulla base di questo Huawei sottolinea che essendo la catena di fornitura per la realizzazione di un device cosa estremamente complessa, attribuire in modo così diretto ed esplicito le responsabilità a uno solo degli attori in gioco non è corretto.
È necessario comprendere chiaramente la complessità della catena di fornitura. Ogni sua parte può introdurre vulnerabilità, il che incrementa la difficoltà nel fronteggiarle.
Huawei prende poi le distanze dalla scelta di Vladislav Yarmak che anziché comunicare il problema prima all’azienda ha deciso di divulgarla subito pubblicamente, certo della natura dolosa dell’azione, esponendo di conseguenza gli utenti di un gran numero di dispositivi e marchi a possibili violazioni, mettendo tra l’altro a disposizione un Proof Of Concept.
La divulgazione coordinata delle vulnerabilità è la migliore pratica per l’intera industria in questo scenario.
In definitiva, HiSilicon sostiene di non aver introdotto la backdoor come ipotizzato, né tramite i chip realizzati né mediante gli SDK offerti.
Questa vulnerabilità non è stata introdotta dai chip né dagli SDK forniti da HiSilicon.
La volontà dell’azienda è quella di collaborare con le realtà che hanno integrato le componenti hardware in questione all’interno dei loro prodotti, così da sgombrare il campo da qualsiasi possibile rischio di violazione. Afferma inoltre di aver rimosso il servizio Telnet, implementato solitamente con l’esclusiva finalità di eseguire il debug, da tutti i dispositivi a marchio Huawei basati su componentistica HiSilicon, invitando gli OEM a fare altrettanto.