Huawei mist kans op transparantie met beveiligingslekken

Huawei verbiedt een Italiaans bedrijf dat bugs ontdekte in websysteem om details vrij te geven, ook al zouden de lekken intussen gedicht zijn. Dat is geen ongehoorde praktijk maar gezien de focus op het bedrijf en de vraag om transparantie wel een vreemde keuze.

Swanscan, een Italiaans beveiligingsbedrijf, ontdekte een aantal kwetsbaarheden in de website en de online-diensten van Huawei. De onderzoekers maakten hun bezorgdheden over aan Huawei, dat ze meteen aanpakten. Dat vertelt Swanscan zelf aan The Register. Tot zover geen probleem dus. Wil je weten wat er precies scheelde, welke diensten bugs bevatten, of die werden uitgebuit en welke data er precies kwetsbaar was, dan ben je er echter aan voor de moeite. Huawei houdt die informatie dicht bij de borst, en Swanscan moest een NDA ondertekenen.

Vreemde keuze

Dat is op zich niet ongezien. Niet alle bedrijven komen transparant naar buiten met securityproblemen. Dat Huawei voor deze aanpak kiest, is gezien het huidige klimaat rond de Chinese technologiespecialist wel verrassend. Huawei zelf beloofde eerder transparantie in het kader van Westerse bezorgdheden, onder andere over spionage. In dat opzicht is een stilzwijgen over potentiele achterpoortjes een vreemde keuze.

De kwetsbaarheden konden volgens de onderzoekers uitgebuit worden en zo continuïteit aantasten, gebruikersgegevens blotstellen of simpelweg informatie kwetsbaar maken voor lekken. Volgens The Register gaat het om kwetsbaarheden in publieke en dus via het internet te benaderen code.

Geen CVE’s

Swanscan mocht nog wel verklappen dat het om out of bounds memory reads en writes en command injection-kwetsbaarheden ging, waarbij het overlopen van de geheugenbuffer normaal verboden acties mogelijk maakt. Hoeveel kwetsbaarheden er precies waren is niet duidelijk en zelfs de CVE-nummers blijven geheim.

Het is niet duidelijk waarom Huawei voor de verhullende aanpak kiest. Bugs zijn een ding des levens: ieder bedrijf wordt er mee geconfronteerd. Het zijn niet zozeer de lekken die een organisatie een slecht image kunnen geven, eerder de snelheid waarmee en de manier waarop ze aangepakt worden. Een volledig transparante communicatie had in dit geval een mooi signaal geweest.

Gerelateerd: Amerikaans securitybedrijf vindt tal van kwetsbaarheden in Huawei-firmware