Huawei ima još jedan sigurnosni problem

Aleksej Kojenov, vodeći inženjer zaštite proizvoda u Salesforceu, uočio je sigurnosni problem koji utječe na IP kodere za video kodere IPTV/H.264/H.265  pogonjene  hi3520d čipsetom, čiju proizvodnju potpisuje  HiSilicon.  Sigurnosni problem je  iz kategorije onih koje se obično nazivaju backdoor. Omogućuje ne samo špijuniranje žrtve već napadači mogu presresti kontrolu nad uređajem ili s njega preuzeti osobne podatke.

Rupe u sigurnosti prisutne su u softveru čiji je programer nepoznat, a koji se izvodi na Linuxu koji je HiSilicon osigurao za proizvode koji koriste njegove sustave na čipovima. Kritične nedostatke uključuju: administrativno sučelje s zaporkom (CVE-2020-24215); root pristup putem telneta (CVE-2020-24218); i neautentificirani prijenos datoteka (CVE-2020-24217), što omogućuje izvršavanje zlonamjernog koda i ubrizgavanje naredbi.  Također  je uočena ranjivosti visoke i srednje ozbiljnosti, naime, prekoračenje međuspremnika (CVE-2020-24214)  i način neovlaštenog pristupa RTSP video streamovima (CVE-2020-24216). 

Također je identificirano nekoliko drugih dobavljača koji nude proizvode temeljene na istom sustavu na čipu i vjeruje da oni mogu dijeliti neke ili sve nedostatke: to uključuje opremu Network Technologies Incorporated, Oupree, MINE Technology. Blankom, ISEEVY, Orivison, WorldKast/procoder i Digicast.

Huawei tvrdi da ranjivosti nisu povezane s HiSilicon čipovima ili SDK-om koji pruža proizvođačima koji koriste njegove komponente. Ostaje nam da se zapitamo je li to onda slučajnost? Gdje su u kompliciranom lancu opskrbe stvari krenule po zlu? Često se i drugi proizvođači susreću sa sličnim problemima, ali Kinezi su oni koji puno češće griješe i još teže priznaju!

Više detalja možete pronaći ovdje.