Vodafone vond kwetsbaarheden in Huawei-apparatuur: backdoor of niet?

Vodafone heeft jaren geleden kwetsbaarheden ontdekt in apparatuur die Huawei had geleverd voor de activiteiten van de Britse telecomgroep in Italië. Hoewel de problemen jaren geleden zouden zijn opgelost, werd de zaak nu pas aan het licht gebracht door nieuwsagentschap Bloomberg. Zowel Huawei als Vodafone nuanceren het verhaal.

Bloomberg kon veiligheidsdocumenten van 2009 tot 2011 van Vodafone inkijken en spreken met mensen die het dossier kennen. Volgens de berichtgeving van het nieuwsagentschap identificeerde Vodafone “verborgen achterdeurtjes” in de software van de apparatuur. Die hadden Huawei (of een andere partij) ongeoorloofd toegang kunnen geven tot het vaste netwerk van de telecomprovider in Italië, waar miljoenen huizen en bedrijven op zijn aangesloten voor internetdiensten.

Vodafone vroeg Huawei in 2011 om de ontdekte achterdeurtjes, of backdoors, uit thuisrouters te verwijderen en kreeg de garantie dat de problemen waren verholpen. Verdere tests zouden evenwel hebben uitgewezen dat de kwetsbaarheden nog steeds aanwezig waren, zo schrijft Bloomberg op basis van de documenten. Volgens de anonieme bronnen werden ook backdoors aangetroffen in optische serviceknooppunten en breedbandgateways van het Vodafone-netwerk.

Backdoor

Het gebruik van de term ‘backdoor’ door Bloomberg impliceert een bewuste keuze om een achterdeurtje in te bouwen. Een backdoor is een ongedocumenteerde toegangspoort tot een systeem of software, bedoeld om (vanop afstand) problemen op te lossen of onderhoud uit te voeren.

Backdoors kunnen evenwel ook voor minder nobele doelen worden gebruikt door hackers of inlichtingendiensten om ongeoorloofde toegang te krijgen. Zo bracht klokkenluider Edward Snowden in 2013 aan het licht dat de Amerikaanse NSA jarenlang druk uitoefende op technologiebedrijven om backdoors in hun producten te voorzien, die de inlichtingendienst zou kunnen gebruiken om encryptie en andere beveiligingsmaatregelen te omzeilen.

Vodafone en Huawei spreken met betrekking tot het Bloomberg-verhaal expliciet over ‘problemen’ en ‘kwetsbaarheden’. Vodafone bevestigt in een reactie aan het nieuwsagentschap dat het in 2011 en 2012 kwetsbaarheden heeft gevonden in thuisrouters in Italië, alsook in delen van zijn vast netwerk. “De problemen werden geïdentificeerd door onafhankelijke beveiligingstests, geïnitieerd door Vodafone als onderdeel van onze routinematige beveiligingsmaatregelen, en op dat moment door Huawei opgelost”, klinkt het nog in een statement dat onze redactie ontving.

Telnet

“Het verhaal dat Bloomberg vandaag publiceert, is misleidend”, zegt Huawei in een reactie aan Techzine. “Het verwijst naar een onderhouds- en diagnostische functie, die overal in de industrie gebruikelijk is, evenals kwetsbaarheden die meer dan zeven jaar geleden werden gecorrigeerd.”

“De ‘backdoor’ waarnaar Bloomberg verwijst, is Telnet, een protocol dat veel fabrikanten in de industrie gebruiken voor het uitvoeren van diagnostische functies”, reageert ook Vodafone. “Bloomberg zegt ten onrechte dat dit ‘Huawei ongeautoriseerde toegang tot het vaste netwerk van de aanbieder in Italië zou kunnen geven.’ Bovendien hebben we geen bewijs van ongeoorloofde toegang. Dit was niets meer dan een nalatigheid om een diagnostische functie na de ontwikkeling te verwijderen.”

Vodafone benadrukt dat alle problemen destijds werden verholpen en dat het geen bewijs heeft van historische kwetsbaarheden in apparatuur in andere landen dan Italië, maar de anonieme bronnen van Bloomberg spreken dat tegen. Volgens hen bleven de kwetsbaarheden in de routers en het vast netwerk ook na 2012 nog bestaan, en waren ze tevens aanwezig in de Vodafone-netwerken in Duitsland, Portugal, Spanje en het Verenigd Koninkrijk. De provider blijft volgens deze bronnen Huawei alsnog als leverancier gebruiken, omdat zijn producten zo scherp geprijsd zijn tegenover de concurrentie.

Vergrootglas

Huawei ligt wereldwijd onder een vergrootglas vanwege spionagebeschuldigingen, die worden aangewakkerd vanuit de Verenigde Staten. De VS spoort zijn bondgenoten aan om de netwerkleverancier uit hun 5G-netwerken te verbannen, uit vrees voor spionage door China. Tot nu toe zijn daar nog geen harde bewijzen voor op tafel gelegd en Huawei ontkent enige samenwerking met de Chinese overheid. De onthulling van softwareproblemen zoals deze, doet de reputatie van Huawei op dit moment natuurlijk geen goed. Vodafone blijft zijn hardwarepartner evenwel steunen en houdt vol dat de problemen van de baan zijn.

De discrepanties tussen het verhaal van Bloomberg en de reacties van Vodafone en Huawei, zorgen voor enige onduidelijkheid over de ware aard van de problemen. Het is niet de eerste keer dat het nieuwsagentschap een controversieel verhaal over mogelijke Chinese spionage publiceert. Eind vorig jaar bracht het een verhaal naar buiten over ‘spionagechips’ in servermoederborden van Supermicro. Het bestaan van zulke hardwarematige backdoors werd zowel door Supermicro als door twee belangrijke klanten, Apple en Amazon, ten stelligste ontkend. Ook verschillende beveiligingsexperts uitten kritiek op de berichtgeving, omdat het verhaal technisch moeilijk te rijmen viel.