Прошивки понад половини мережевих пристроїв виробництва Huawei містять щонайменше один потенційний бекдор. До такого висновку прийшли фахівці компанії Finite State за підсумками проведеного дослідження.
За їхніми словами, не зважаючи на всі заяви Huawei про поліпшення безпеки пристроїв, ситуація лише “погіршується з часом”. Обладнання китайського виробника схильне до високого ризику компрометації, враховуючи наявність як відомих уразливостей, що дозволяють віддалено отримати доступ, так і потенційні бекдори.
Дослідники проаналізували 1,5 мільйона файлів у порядку 10 тисяч образів прошивок, які використовують у 558 продуктах з лінійок корпоративного мережевого обладнання Huawei, і з’ясували, що понад 55% прошивок містять принаймні один потенційний бекдор. Йдеться про наявність вшитих облікових даних, небезпечне використання криптографічних ключів і “ознаки неякісної розробки програмного забезпечення”.
Один образ прошивки в середньому містить 102 відомі уразливості (значну частину з них складають критичні проблеми і уразливості з високим ступенем небезпеки) поряд з численними новими багами, стверджують фахівці. Більш того, в одному з пристроїв з найбільш свіжої версією прошивки фахівці виявили в цілому 1419 уразливостей.
Одна з ключових проблем полягає в тому, що Huawei не оновлює відкриті програмні компоненти (зокрема, криптографічну бібліотеку OpenSSL), які реалізує в своїх продуктах. За словами дослідників, середній “вік” використовуваних версій ПЗ 5,36 років, а в деяких випадках у прошивках реалізовані версії програм, випущених 10, а то і 20 років тому. Наприклад, в деяких прошивках Huawei реалізована версія OpenSSL від 1999 року. Також з’ясувалося, що 389 бінарних файлів у прошивках компанії уразливі до Heartbleed (CVE-2014-0160) – уразливості, що дозволяє викрасти конфіденційну інформацію, захищену TLS-шифруванням.
До речі, компанія Microsoft повідомила про створення OneDrive Personal Vault, – нової функції хмарного сховища OneDrive, яка дозволить убезпечити особливо важливі файли за допомогою додаткових рівнів захисту.
Також компанія Mozilla запустила проект Track This, який ускладнює рекламне відстеження завдяки відкриттю великої кількості непов’язаних сайтів в Інтернеті.
Окрім цього, менеджер завантажень в Safari у iOS 13 перетворює штатний веб-браузер у просунутий інструмент, що дозволяє досягнути максимуму у роботі з Інтернетом.