Language
Dem Bericht zufolge könnte das übliche Schreibtischtelefon Informationen an die chinesische Regierung weitergeben
HeimHeim > Nachricht > Dem Bericht zufolge könnte das übliche Schreibtischtelefon Informationen an die chinesische Regierung weitergeben
NEUESTEN NACHRICHTEN

Dem Bericht zufolge könnte das übliche Schreibtischtelefon Informationen an die chinesische Regierung weitergeben

Jun 15, 2023

Arbeiter in einem Callcenter in Norwich, Norfolk, Vereinigtes Königreich Getty Images

In Verbindung bleiben

Patrick Tucker

Ein großer chinesischer Telefonhersteller könnte US-Verbraucher, Unternehmen und sogar nationale Sicherheitsdaten gefährden, und ein US-Senator möchte wissen, was das Handelsministerium dagegen unternehmen wird.

In einem Brief vom 28. September, den Defense One erhalten hatte, beschrieb Senator Chris Van Hollen, D-Md., einen Bericht, der „ernsthafte Bedenken hinsichtlich der Sicherheit audiovisueller Geräte aufwirft, die von chinesischen Firmen wie Yealink hergestellt und in die USA verkauft werden.“ ."

Yealink hat nicht den Bekanntheitsgrad des umstrittenen chinesischen Telekommunikationsgiganten Huawei, aber seine Telefone sind in den gesamten Vereinigten Staaten weit verbreitet, auch in Regierungsbehörden. Im September kündigten Yealink und Verizon Pläne an, „das erste 4G/LTE-Mobiltelefon des Landes“ zu verkaufen.

In dem Brief fragte Van Hollen Handelsministerin Gina Raimondo, ob ihrer Behörde der Bericht von Chain Security bekannt sei, einem in Virginia ansässigen Unternehmen, das Elektronik auf Sicherheit analysiert. Er fragte, ob sie die Analyse für glaubwürdig halte und wenn ja, was Commerce ihrer Meinung nach dagegen tun solle.

Viele der in dem Bericht angesprochenen Sicherheitsbedenken ähneln denen, die die US-Regierung seit Jahren in Bezug auf Huawei hegt. Im Wesentlichen gibt es eine Reihe großer – aber möglicherweise unbeabsichtigter – Sicherheitslücken, die ein Angreifer ausnutzen könnte, um Daten zu stehlen. Aber insbesondere beim Yealink T54W-Telefon gibt es auch einige besorgniserregende Funktionen, die offensichtlich absichtlich eingebaut sind.

Der Bericht verwies auf die Yealink-Software, die jedes Telefon mit dem lokalen Netzwerk verbindet. Mit der sogenannten Geräteverwaltungsplattform (DMP) können Benutzer von ihren PCs aus Anrufe tätigen und Netzwerkadministratoren die Telefone verwalten. Aber es ermöglicht Yealink auch, diese Telefonanrufe heimlich aufzuzeichnen und sogar zu verfolgen, welche Websites die Benutzer besuchen.

​​„Wir haben festgestellt, dass, wenn das Telefon von der Geräteverwaltungsplattform verwaltet wird und der PC des Benutzers mit dem Telefon verbunden ist, um auf ein lokales Netzwerk zuzugreifen, Informationen darüber gesammelt werden, was Sie auf Ihrem Computer surfen.“ , sagte Jeff Stern, CEO von Chain Security. „Die Methode, ein Desktop-IP-Telefon wie das Yealink-Telefon als Ethernet-Switch zu verwenden, um den PC mit dem lokalen Netzwerk zu verbinden, ist eine gängige Geschäftspraxis. Der Administrator auf dieser Plattform kann auch ohne Wissen des Benutzers eine Anrufaufzeichnung initiieren … Was? Das tun sie, indem sie dem Telefon den Befehl erteilen, die Anrufe aufzuzeichnen.

Stern sagte: „Diese Funktion ist für die Verwendung durch Mitarbeiter oder Vertreter eines Unternehmenskunden gedacht. Allerdings verfügt jedes System über einen Superuser-Administrator oder SYSADMIN. Bei solchen Systemtypen hat der SYSADMIN normalerweise Zugriff auf alles. Einige moderne Systeme, insbesondere danach Snowden, verweigern Sie dem SYSADMIN diese Fähigkeit. Aber wir müssen davon ausgehen, dass dies hier nicht der Fall ist und dass sich der Yealink DMP SYSADMIN in China befindet.“

Im Bericht von Chain Security heißt es, dass die Servicevereinbarung von Yealink von den Benutzern verlangt, die Gesetze Chinas zu akzeptieren, während „eine entsprechende Reihe von Servicebedingungen die aktive Überwachung der Benutzer ermöglicht, wenn dies im ‚nationalen Interesse‘ (das bedeutet das nationale Interesse Chinas) erforderlich ist.“

Stern wies außerdem darauf hin, dass das Telefon auch keine digitalen Zertifikate verwendet, um unbefugte Änderungen an seiner Software zu verhindern. Dies macht es für Angreifer viel einfacher, die Daten auf dem Telefon und möglicherweise sogar das gesamte Netzwerk, mit dem es verbunden ist, zu kompromittieren, ohne dass Yealink dafür verantwortlich ist. „Ohne eine Art Monitor, der die Vorgänge auf dem Telefon überwacht, wüssten Sie nicht, dass diese Firmware vorhanden ist, und sie kann alles tun, was Sie wollen, um Ihr Netzwerk und das Subnetz zu überwachen. Das Szenario, über das wir uns bei einem Gerät wie diesem Sorgen machen.“ besteht darin, dass es Ihr Netzwerk überwacht und dann exfiltriert … im Wesentlichen Ihre Netzwerkarchitektur oder Ihre Netzwerkimplementierung.“

Das Fehlen einer Firmware-Signaturanforderung ist nicht gerade ungewöhnlich. Stern nannte es einen „alten Fehler“. Aber er sagte: „Es gibt keinen Grund, warum alte Fehler wie dieser weiterhin bestehen sollten. Das ist schlimm.“

Defense One fragte einen Verizon-Sprecher, ob das Unternehmen Telefone mit Yealink DMP und ohne digitale Zertifikate verkaufe. Der Sprecher sagte zunächst, das Unternehmen habe das DMP angepasst, um Probleme im Zusammenhang mit Sicherheit und Firmware-Upgrades zu beheben.

Diese Antwort hinterließ bei Stern weitere Fragen. „Wer führt die Firmware-Anpassung durch? Verfügt [Verizon] über eine Lizenz zum Ändern des Quellcodes der Firmware? Plant [Verizon], Penetrationstests an der Firmware durchzuführen, bevor sie sie für seine Benutzer freigibt? Führt [Verizon] Quellcode durch?“ Sicherheitsanalyse aller Firmware, die es von Yealink erhält?“

Doch nachdem dieser Artikel veröffentlicht wurde, sagte ein zweiter Verizon-Sprecher, dass die ursprüngliche Aussage des Unternehmens falsch sei. Verizon „verwendet NICHT das im Artikel erwähnte DMP. Der Zugriff auf [das Yealink] DMP ist in der benutzerdefinierten Firmware von Verizon vollständig blockiert. Verizon ist durch DMP nicht gefährdet.“

Der zweite Sprecher sagte außerdem: „Jedes One Talk-Tischtelefon verwendet Cybertrust-Zertifikate, die für alle Gerätestarts und sicheren Firmware-Upgrade-Aktivitäten validiert werden.“

Aber Verizon ist bei weitem nicht der einzige Anbieter von Yealink-Telefonen. Und Stern stellte neben dem DMP- und Firmware-Zertifikat eine Reihe weiterer Probleme fest.

Stern fand außerdem heraus, dass das Telefon mehrmals täglich verschlüsselte Nachrichten mit einem in China ansässigen Cloud-Server, Alibaba Cloud, austauscht. Sie können das Telefon nicht so programmieren, dass dies nicht der Fall ist. Um dies zu verhindern, können Sie den Netzwerkrouter Ihrer Organisation so einstellen, dass der Austausch verhindert wird – allerdings nur, wenn Sie wissen, dass das Telefon dies überhaupt tut.

Yealink-Telefone enthalten außerdem eine spezielle Mikroprozessoreinheit eines chinesischen Chipherstellers namens Rockchip. Natürlich stecken chinesische Chips in allen möglichen Geräten und Sicherheitsexperten können die meisten davon auf Fehler testen. Aber dieser hat nicht die gleichen Tests durchlaufen, weil Rockchip ihn laut Stern speziell für Yealink entwickelt hat. „Dies ist eindeutig ein spezialisiertes Produkt, basierend auf der Modellnummer, die für Yealink entwickelt wurde, und es gibt keine dokumentierten Schwachstellen, die behoben werden könnten. Außer, dass es Schwachstellen gibt, nicht wahr? Denn alles hat Schwachstellen. Es ist einfach so, dass niemand darüber berichtet, weil es ein Spezialprodukt ist.“ Chip“, sagte er.

Das bedeutet nicht unbedingt, dass mit dem Chip etwas nicht stimmt, aber er wurde nicht der gleichen Prüfung unterzogen wie andere, weiter verbreitete Komponenten.

Ein Experte der Telekommunikationsbranche, der mit dem Bericht vertraut ist, aber nicht an dessen Erstellung mitgewirkt hat und keine Verbindung zu Chain Security hat, beschrieb das Unternehmen als seriös. Der Experte befürwortete oder bestritt keine der Ergebnisse des Berichts, sagte jedoch, dass allein die Formulierung in der Dienstleistungsvereinbarung von Yealink ausreichte, um eine Überprüfung durch die Regierung zu rechtfertigen. „Die Tatsache, dass Sie [gemeint ist Yealink] an chinesisches Recht gebunden sind, muss die Regierung wissen.“

Wenn das Handelsministerium die Bedenken des Berichts untersucht und sie für berechtigt hält, könnte sich Yealink auf einem ähnlichen Weg wie Huawei wiederfinden und auf eine Liste nicht vertrauenswürdiger Technologien gesetzt werden, die Regierungskunden nicht kaufen dürfen. Der Branchenexperte sagte, es gebe keinen festgelegten Prozess oder Zeitplan für die Durchführung solcher Feststellungen.

Stern sagte, er gehe davon aus, dass Yealink-Telefone in Regierungsbüros stünden, da der Regierungsmarkt für IP-Telefone seiner Analyse zufolge etwa 300 Millionen US-Dollar beträfe und Yealink einer der zehn größten Anbieter sei. Eine Websuche zeigt Yealink-Handbücher an, die als Referenz auf die Websites vieler lokaler, staatlicher und bundesstaatlicher Behörden hochgeladen wurden.

Van Hollens Büro machte keine weiteren Angaben dazu, warum sie den Brief an das Handelsministerium geschickt hatten. Ein Sprecher von Van Hollen sagte, dass „der Brief wirklich für sich selbst spricht – der Senator sucht lediglich nach weiteren Informationen.“

Am 28. Dezember antwortete das Handelsministerium Van Hollen in einem separaten Brief, den Defense One erhalten hatte. „Wir nehmen diese Angelegenheiten ernst“, schrieb Wynn W. Coggins, amtierender Finanzvorstand und stellvertretender Verwaltungssekretär. „Das Handelsministerium teilt Ihre Bedenken hinsichtlich der Sicherheit der Lieferkette für Informations- und Kommunikationstechnologie und -dienste (ICTS) und der Bedrohungen dieser Lieferkette durch unsere ausländischen Gegner und arbeitet aktiv daran, diese Bedenken auszuräumen.“

Yealink antwortete nicht auf eine Bitte um einen Kommentar zu dieser Geschichte.

Diese Geschichte wurde aktualisiert, um zusätzliche Aussagen von Verizon widerzuspiegeln.

NÄCHSTE GESCHICHTE:Top Ten 2021: Tech

NÄCHSTE GESCHICHTE: