Huawei Meninggalkan Pintu Belakang yang Berpotensi Dapat Dieksploitasi Dalam Perusahaan Keamanan Klaim Firmware Jaringan
AS telah lama mengklaim Huawei mengancam keamanan digitalnya. Sekarang sebuah perusahaan keamanan mengklaim telah menemukan beberapa pintu belakang yang berpotensi dapat dieksploitasi di beberapa perangkat lunak yang digunakan perusahaan China. Seiring perlombaan untuk menerapkan jaringan 5G semakin cepat, klaim semacam itu dapat semakin membahayakan prospek bisnis raksasa telekomunikasi dan jaringan di seluruh dunia.
Peneliti dari firma keamanan IoT Finite State rupanya mengungkapkan bahwa lebih dari setengah peralatan dari raksasa telekomunikasi China, Huawei, memiliki "setidaknya satu pintu belakang potensial". Ada bukti substansial bahwa firmware perangkat jaringan Huawei memiliki kekurangan, yang dapat disebarkan dengan sengaja untuk membuatnya rentan, klaim perusahaan tersebut. Saat melakukan penelitian terhadap perangkat lunak Huawei yang dipasang di peralatan jaringannya, perusahaan tersebut mengatakan, “Ada bukti substansial bahwa kerentanan zero-day berdasarkan kerusakan memori berlimpah di firmware Huawei. Singkatnya, jika Anda menyertakan kerentanan akses jarak jauh yang diketahui bersama dengan kemungkinan pintu belakang, perangkat Huawei tampaknya berisiko tinggi untuk disusupi. ”
Kesimpulan yang diambil oleh para peneliti keamanan di Finite State tampaknya sangat mirip dengan apa yang diambil oleh Ian Levy, direktur teknis National Cyber Security Center (NCSC) Inggris, unit agen mata-mata GCHQ awal bulan ini. Saat itu, Levy baru saja menyimpulkan mengevaluasi peralatan Huawei atas klaim terus-menerus bahwa peralatan jaringan 5G perusahaan China dapat digunakan oleh China untuk melakukan kampanye spionase yang disponsori negara secara luas. Levy langsung mengklaim langkah keamanan yang digunakan oleh Huawei dalam peralatannya "secara obyektif lebih buruk dan jelek" dibandingkan dengan semua pesaingnya dalam bisnis jaringan kabel dan nirkabel. “Dari sudut pandang keamanan rantai pasokan teknis, perangkat Huawei adalah beberapa yang terburuk yang pernah kami analisis,” klaim Levy.
Para peneliti mencatat dalam laporan mereka bahwa terlepas dari komitmen publik Huawei untuk meningkatkan keamanan, analisis tersebut mengungkapkan bahwa "postur keamanan" Huawei sebenarnya "menurun seiring waktu". Para peneliti mengklaim mereka meneliti sekitar 558 produk jaringan perusahaan Huawei. Mereka dilaporkan menyisir 1,5 juta file dalam sekitar 10.000 gambar firmware.
Huawei Meninggalkan Lebih dari Ratusan Cacat dan Kerentanan Keamanan?
Analisis tersebut ternyata mengungkapkan bahwa lebih dari 55 persen gambar firmware memiliki setidaknya satu pintu belakang potensial. Beberapa celah keamanan yang patut diperhatikan dan kerentanan yang tampaknya disengaja yang tertinggal di dalam file firmware termasuk kredensial berkode keras yang dapat digunakan sebagai pintu belakang, penggunaan kunci kriptografi yang tidak aman. Perusahaan juga mengklaim telah mengamati "indikasi praktik pengembangan perangkat lunak yang buruk". Secara keseluruhan, Finite State mengklaim telah menemukan rata-rata 102 kerentanan yang diketahui di setiap gambar firmware Huawei. Dilaporkan juga ada banyak bukti kerentanan zero-day.
Satu aspek menarik yang muncul selama analisis adalah penggunaan komponen perangkat lunak sumber terbuka oleh Huawei. Huawei secara teratur mengandalkan OpenSSL. Platform open source adalah pustaka kriptografi yang umum digunakan untuk melindungi dan mengenkripsi komunikasi digital. Dengan kata sederhana, OpenSSL sering digunakan oleh situs web untuk mengaktifkan HTTPS. Huawei dilaporkan gagal memperbarui perangkat lunak sumber terbuka semacam itu, klaim para peneliti keamanan. “Usia rata-rata komponen perangkat lunak sumber terbuka pihak ketiga di firmware Huawei adalah 5,36 tahun.” Selain itu, ada "ribuan komponen yang berusia lebih dari 10 tahun". Rupanya, beberapa perangkat lunak usang dan usang membuat peralatan Huawei rentan terhadap Heartbleed yang terkenal, virus yang sangat terkenal dan menyebar luas pada tahun 2011.
Apakah Huawei Satu-Satunya Perusahaan yang Menggunakan Perangkat Lunak Sumber Terbuka?
Penting untuk dicatat bahwa perusahaan yang mirip dengan Huawei, sering kali mengandalkan perangkat lunak sumber terbuka untuk mempercepat pengembangan dan penerapan perangkat lunak di perangkat keras. Selain itu, perusahaan-perusahaan ini sering menemukan pintu belakang dan kerentanan dan terburu-buru untuk menambalnya. Intinya, ini adalah praktik yang sangat umum. Namun yang terpenting adalah perusahaan sering memperbarui perangkat lunak dan mencoba menggunakan versi terbaru atau paling stabil yang memiliki beberapa perbaikan bug.
Saat ini, pesaing utama Huawei adalah Ericsson, Nokia, dan Cisco. Kebetulan, semua perusahaan ini sedang merancang iterasi mereka sendiri untuk peralatan jaringan 5G berkecepatan tinggi dan sangat rendah. Organisasi-organisasi ini masih mengevaluasi kombinasi perangkat keras yang paling optimal untuk memenuhi banyak persyaratan 5G, termasuk koneksi yang andal ke perangkat Internet of Things (IoT), mobil yang terhubung, dan perangkat elektronik lainnya. Meskipun 5G bergantung pada teknologi dan protokol komunikasi yang mapan, platform tersebut harus menggunakan banyak teknologi mutakhir. Selain itu, standar komunikasi seluler baru memiliki jangkauan yang jauh lebih luas dibandingkan dengan semua standar sebelumnya. Oleh karena itu, sangat penting untuk menyiapkan keamanan yang kuat dan mencegah pelanggaran data atau kebocoran informasi.