Rozmowy urzędników USA trafiały do Pekinu? „Kilka razy dziennie wiadomości przesyłane są na chiński serwer”

Pod koniec września ub. r. amerykański senator Chris Van Hollen, w liście skierowanym do sekretarz handlu USA Giny Raimondo, odniósł się do raportu opracowanego przez Chain Security¹, w którym specjaliści wyrazili obawy dotyczące bezpieczeństwa urządzeń audiowizualnych produkowanych i oferowanych w Stanach Zjednoczonych przez chińskie firmy, w tym Yealink. Telefony wspomnianego przedsiębiorstwa są szeroko wykorzystywane w USA. Korzystają z nich m.in. agencje rządowe. 

W raporcie zawierają się stwierdzenia, które w wielu obszarach przypominają hasła, które amerykański rząd kierował w odniesieniu do chińskiego giganta Huawei. Wynika z niego, że istnieje wiele istotnych - choć prawdopodobnie niezamierzonych - luk w zabezpieczeniach , które mogą zostać wykorzystane przez wrogie podmioty do kradzieży danych. 

Funkcje, które wdrożono celowo

Szczególnie interesujący wydaje się jednak przykład telefonu Yealink T54W. Specjaliści ocenili, że posiada on pewne niepokojące funkcje, które wdrożono celowo. 

Chodzi o oprogramowanie, które łączy urządzenia z siecią lokalną. Rozwiązanie, określane „platformą zarządzania urządzeniami” lub inaczej „DMP”, pozwala użytkownikom na wykonywanie połączeń ze swojego komputera, a administratorom na skuteczne zarządzanie telefonami. Jednak specjaliści wskazują, że umożliwia także Yealink potajemnie nagrywać rozmowy czy też śledzić aktywność przeglądarki internetowej. 

„Zauważyliśmy, że jeśli telefon jest zarządzany DMP, a komputer użytkownika jest podłączony do telefonu w celu uzyskania dostępu do sieci lokalnej, zbiera informacje o tym, co przeglądasz na swoim komputerze” - tłumaczy Jeff Stern, dyrektor generalny Chain Security, cytowany przez DefenseOne. 

Jak dodaje, metoda używania stacjonarnego telefonu, takiego jak urządzenie Yealink, jako łącznika z komputera z siecią lokalną jest powszechną praktyką biznesową. Zdaniem ekspertów właśnie tę możliwość ma wykorzystywać chiński producent, aby np. nagrywać rozmowy. Wynika to z faktu, że „każdy system ma swojego >>superadministratora<< (...), który zazwyczaj posiada dostęp do wszystkiego” - zaznacza Jeff Stern. A w tym konkretnym przypadku „superadministrator" znajduje się w Chinach.

Jeszcze łatwiej naruszyć bezpieczeństwo danych

W raporcie opracowanym przez Chain Security podkreślono, że umowa serwisowa z Yealink wymaga od klientów zaakceptowania chińskiego prawa. Przypomnijmy, że firmy z Państwa Środka są zobowiązane do współpracy z tamtejszym rządem, gdy w grę wchodzą naczelne interesy państwa, takie jak bezpieczeństwo narodowe. 

Co więcej, eksperci zaznaczyli, że telefon Yealink T54W nie używa certyfikatów cyfrowych, aby zapobiec nieautoryzowanym zmianom w swoim oprogramowaniu. To sprawia, że wrogim podmiotom jest znacznie łatwiej naruszyć bezpieczeństwo danych znajdujących się na urządzeniu, a nawet całej sieci, do której jest podłączone. 

Tajemniczy transfer do chińskiej chmury

Warto także podkreślić, że telefon kilka razy dziennie przesyła zaszyfrowane wiadomości do chińskiego serwera w chmurze „Alibaba Cloud”. Urządzenie jest tak skonstruowane, że nie można tego zmienić. Jak wskazuje Jeff Stern, jedyną opcją, aby zatrzymać ten proces jest wprowadzenie modyfikacji na głównym routerze sieciowym przedsiębiorstwa. 

Ponadto, eksperci wskazali, że urządzenia Yealink zostały wyposażone w dedykowane tylko dla nich chipy, które zaprojektował chiński producent Rockchip. Dyrektor generalny Chain Security podkreśla, że mówimy o „wyraźnie wyspecjalizowanym produkcie, opracowanym dla Yealink”. 

Oczywiście chińskie chipy znajdują się w wielu różnych urządzeniach, a specjaliści zajmujący się bezpieczeństwem posiadają szerokie możliwości ich testowania pod kątem wykrycia ewentualnych podatności. Jednak w przypadku Yealink mówimy o dedykowanych komponentach, co sprawia, że obecnie nie są znane luki, jakie mogą się w nich znajdować. A z kolei przez to nie można wydać odpowiednich łatek, które by je zniwelowały. 

Taki stan rzeczy nie jest równoznaczny z tym, że na pewno „coś jest nie tak” z chipami dostarczonymi przez Rockchip. Jednak to, że nie zostały jeszcze szczegółowo przeanalizowane, oznacza, iż stanowią dla specjalistów tajemnicę, co wiąże się z potencjalnym ryzykiem. 

Waszyngton podziela obawy

Według Jeffa Sterna, urządzenia Yealink były używane w podmiotach państwowych. Jak wynika z analiz, wartość rynku telefonów IP w sektorze rządowym szacuje się na około 300 milionów dolarów, a chiński producent jest jednym z dziesięciu największych dostawców. Do wielu agencji stanowych i federalnych przesłano także specjalne podręczniki o urządzeniach Yealink.

W liście senator Chris Van Hollen zapytał szefową Departamentu Handlu (DOC) wprost, czy jej agencja jest świadoma wyników przedstawionych w raporcie. W odpowiedzi Wynn W. Coggins, pełniący obowiązki dyrektora finansowego i zastępca sekretarza ds. administracji DOC, podkreśla, że „traktujemy tę sprawę poważnie”. 

„Departament Handlu podziela obawy dotyczące bezpieczeństwa łańcucha dostaw w obszarze technologii i usług teleinformatycznych (ICTS) oraz zagrożeń (...) ze strony zagranicznych adwersarzy i aktywnie pracuje nad rozwiązaniem problemu” - wskazuje Departament Handlu w liście do Chrisa Van Hollena, do którego wgląd miał DefenseOne.

Nie ulega wątpliwości, że DOC powinien szczegółowo zbadać sprawę. Jeśli wyniki i obawy zawarte w raporcie Chain Security uznano by za zasadne, Yealink najprawdopodobniej podzieliłby los innych chińskich firm w USA, na czele z Huawei. Firma zapewne trafiłaby na tzw. czarną listę Departamentu Handlu , a to wiązałoby się z poważnymi sankcjami.

¹ Firma analizująca urządzenia elektroniczne pod kątem bezpieczeństwa.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.