Der Jahresbericht 2019 des “Huawei Cyber Security Evaluation Centre Oversight Board”(HCSEC) zeigt auf, dass Huawei grundlegende (teilweise eigene) Regeln der Softwareentwicklung über Jahre nicht beachtet hat und in Teilen nicht verwaltbare Software verwendet. Außerdem berichtet Microsoft, dass komplexe Huaweisoftware unnötigerweise Techniken verwendete, die sonst von Malware bekannt sind.
Komplexe Huaweisoftware macht Sicherheitsprüfung unmöglich.
Das HCSEC ist ein Gremium, welches von der britischen Regierung für die Sicherheitsevaluation von von Huawei entwickelter Software, welche auf sogenannten “LTE eNodeB”s, wichtigen Teilen des britischen LTE-Netzes, zum Einsatz kommt. Das Problem ist nicht, dass die Sicherheitsforscher größere Sicherheitslücken gefunden haben, sondern, dass die vorliegende Software von Huawei so unsauber verwaltet wird, dass es nicht möglich ist, zu einer abschließenden Bewertung der Sicherheit der Software zu kommen.
Was bedeutet komplexe Huaweisoftware?
Das größte Problem liegt darin, dass es bei mehrfacher Kompilierung von Software oft dazu kommt, dass die resultierende Binärdatei nicht immer gleich ist. Das sorgt dafür, dass solche “binaries”, die letztendlich vom Computer ausgeführt werden, nicht reproduzierbar sind und es somit unmöglich ist, sicher zu sagen, ob der verwendeten binary der vorliegende Quellcode zu Grunde liegt. Außerdem hat die Untersuchung des HCSEC ergeben, dass für einige verwendete Softwarekomponenten (so z.B. OpenSSL) so viele verschiedene Versionen zugelassen sind, dass es nicht auszuschließen ist, ob Sicherheitslücken durch veraltete Versionen bestehen.
Komplexe Huaweisoftware nutzt NSA-Malwaretechnik.
Microsoft hat mit Hilfe des hauseigenen und gratis mit Windows mitgelieferten Defenders eine Sicherheitslücke ausgemacht, die durch einen Huaweitreiber eröffnet wurde. Die Lücke betraf Nutzer von Huawei MateBooks und war Teil von deren PCManager Software. Die Software nutzte eine von der NSA verwendete Malwaretechnik, um abgestürzte Dienste neu zu starten. Inzwischen ist die Sicherheitslücke geschlossen.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Was hat komplexe Huaweisoftware mit mir zu tun?
Wer weder mit dem LTE Netz in Großbritannien noch mit MateBooks zu tun hat, mag sich fragen, warum das so interessant ist. Beide Fälle sind höchstwahrscheinlich keine Anzeichen für vorsätzlich schädliches Verhalten von Huawei, sondern Beispiele dafür, was passieren kann, wenn Software nicht richtig verwaltet wird.
Dieses Problem besteht sicherlich nicht nur bei Huawei, sondern bei vielen großen Softwareherstellern. Das kann einfach nur unangenehme Folgen wie langsame oder fehlerbehaftete Software haben, aber auch zu ernsten Sicherheitslücken führen. Aus diesem und weiteren Gründen sind Softwareupdates so wichtig, da so solche Patzer ausgebügelt werden können.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
