web-dev-qa-db-ja.com

セキュリティ上のリスクがあるかどうかを明確に答えるためにHuaweiデバイスを調べることは可能ですか?

最近多くのニュース があり、ここ数年、Huaweiがセキュリティリスクであることについて。誰かが推測のほかに、リスクの根拠は何かを説明できますか? Huaweiデバイスを調べて、実際に悪用される可能性のあるチップ、ブートローダー、バックドアなどがあるかどうかを確認する方法はありませんか?中国製のHuaweiデバイスにはどのような潜在的な危険が存在しますが、アップル製のデバイスなど、中国製の他のデバイスには存在しませんか?

9
BogBody

これは MIT Technology Review の記事)によると、英国は導入前にHuaweiの設備を調査してきたということです。これは限られたレベルの保証しか提供していません。リスクはプライバシー、スパイ活動、妨害行為。

私はエレクトロニクス/コンピューター業界を数年前に退職しましたが、以下の見解は最新技術にも当てはまると思います。

スパイ行為が意図されている場合、製造元はデバイスのコードにアクセスして検査することを困難にすることができます。フラッシュメモリデバイスは、システムオンチップまたはシステムインパッケージの一部である場合があり、パッケージの表面にメモリラインを配置する必要がなくなります。これにより、コードへのアクセスが非常に不便になります。極端な場合は、走査型電子顕微鏡(SEM)を使用することもできます。 Courbon et al SEMを使用して210 nmフラッシュメモリを読み取りました。 (記事には日付がありませんが、最新の参照は2015年のものなので、このペーパーは少なくとも最新のものです。)コードにアクセスできる場合は、難読化されている可能性があります。 難読化されたコード は、プログラマーがプログラムを使用して元のコードを Rube Goldberg machine に変換すると作成されます。これがバックドアを隠すのに効果的かどうかは議論の余地があります。

カスタムチップは謎になる可能性があります。識別以外のあらゆる点で「正常」なチップは、謎のように見えます。製造元は、ボード上の1つ以上のデバイスに、偽のまたは紛らわしいIDを印刷するだけです。実際にはそうではないのに、デバイスを標準に見えるようにすることができます。十分な資金のある事業体が機能の隠蔽または偽装に投資する場合、単一の設計の「真の回路」を決定するには膨大な量の調査が必要になります。実際の回路がわかるまでは、コードを検査しても実際の保証はありません。

真の回路を決定し、バックドアのコードを検査するために多くの問題に取り組む必要があると思われる場合は、独自の通信機器を設計および構築するだけの方が良いでしょう。より現実的には、設計、製造、サポート、および更新に侵入監視機能をインストールし、おそらくメーカーの国家化を通じてコーポレートガバナンスを引き継ぎます。

あなたが邪魔をするつもりがないなら、あなたは暗黙のうちにある程度のリスクを受け入れており、そしておそらくあなたは製造業者を正直に保つように商業的な圧力に頼っているでしょう。その信頼は失望につながる可能性があります。

更新が無効になっている場合は、特定の設計は、ある程度の労力を費やした後のセキュリティリスクではないと結論付ける可能性があります。努力が不十分であるかどうか、さらに大きな努力が必要かどうかはわかりません。更新を無効にすることは実用的でも安全でもありません。コードが更新されるとすぐに、保証はありません。製造元が隠蔽しようとする場合、更新のイベントに気付かない可能性があります。

12
H2ONaCl

説明されていない知性に基づく多くの推測があります。それは何もではありませんが、それも何かではありません。

電話を検査できますか?はい、ただし機能のみに基づいています。問題はバックドアやブートローダーではなく、悪意のある機能が組み込まれる可能性があるため、疑わしいチップを追加する必要はありません。通常のコールホームも検出されます。

問題は「スリーパー」機能にあります。電話機に「すべてのデータを自宅にダンプ」機能があり、製造元がアップデートを適用するまで有効にならなかったとします。アップデート自体は悪意のあるものである必要はなく、スリープ機能をオンにするように構成されているだけです。次に、電話のコンテンツがアップロードされます。検出されるかもしれませんが、その時までに被害は解消されています。

セキュリティは信頼に大きく依存し、ベンダーを信頼できない場合、製品を検査できるかどうかはほとんど問題になりません。与えられた信頼をベンダーが破ることができる方法は多すぎます。

6
schroeder

最善の策は、Huaweiデバイスがルーター/モデムを介して接続されている間にネットワークアクティビティを監視することです。不明な理由、特にユーザーやアプリが要求していないIPアドレスにデータがデバイスからインターネットに送信される場合は、バックドアスパイウェアを提案するのに十分な理由があります。

オペレーティングシステムの完全なソースコードにアクセスでき、ソース内にバックドアスパイウェアコードが存在するかどうかを理解できない場合を除いて、オペレーティングシステムがあなたをスパイしているかどうかを正確に知る唯一の方法は、自分のネットワークを監視することです。ただし、オープンソースのオペレーティングシステムの完全なソースコードを使用していても、コードを読んだ何千人もの開発者によって検出されなかったバックドアスパイウェアがコード内に存在する可能性があります。これは単に、バックドア機能を検出できないようにして、そこにあることに誰も気付かない可能性があるためです。

ただし、スマートフォンから不明なソースに送信されるデータを検出しない場合は、バックドアが設置されている可能性は低いです。それでも、携帯電話から出る小さなバイトのデータを検出するのは難しい場合があります。これは、メモ、ドキュメント、電子メール、閲覧履歴、パスワード、その他の小さなファイルを盗むのに十分です。

Huaweiオペレーティングシステムにパスワードをサーバーに転送するためのコードが配置されている場合、8バイト長のパスワードを取得するには、ネットワーク経由で8バイトのデータを送信する必要があります。非常に多くのアプリ、ウェブサイトアドレス、その他のソフトウェアがデバイスとの間でデータを絶えずやり取りしているため、小さなデータの疑わしい転送を検出することは非常に困難になります。最も知識のあるITスペシャリストでさえ、デバイスがスパイしているのかどうかを証明するのが難しい場合があります。

また、Huaweiがユーザーをスパイしていないことが何らかの形で証明されたとしても、オペレーティングシステムを常にリモートで更新でき、更新のたびにスパイしていないことを証明する必要があるという懸念も注目に値します。すべてのOSアップデートには、データをサーバーに転送するコードが含まれている可能性があるためです。

ソフトウェアがあなたをスパイするのが非常に簡単になったので、スパイを選択した悪意のあるユーザーがインストールしたソフトウェアやオペレーティングシステムによって、コンピュータのすべてのデータにいつでもアクセスできるという問題に人々が気付くはずです。君は。

世界が本当に必要としているのは、承認されていないソースからのネットワーク要求をユーザーがブロックできるようにしながら、すべてのネットワークアクティビティを簡単に監視できるオペレーティングシステムです。つまり、送信したいデータを除いて、ネットワーク経由でデータを送信できないデバイスが必要です。世界がこれを必要とする理由は、現在、米国の主要なテクノロジー企業や政府がユーザーをまだスパイしていないと信じる理由がないからです。一部の小規模なアプリ開発者でさえそれを行っています。それはあまりにも簡単で、多くの人がそれをしないように誘惑しすぎます。そして、開発者がそのようなスパイを実装するプログラミングメカニズムを理解し始めると、スパイの問題は悪化する可能性があります。これらのデバイスへのスパイを防ぐために十分な対策が講じられていない限り、将来の人々は、通常、AIアルゴリズムが処理するために、実行中のすべてのものが収集および保存されていると安全に想定すべきです。人々がインターネットにある程度のプライバシーを持たせたい場合、それを確実にするために大きなステップを踏む必要があります。また、Huaweiがプライバシーを提供しているかどうか、またはHuaweiがユーザーをスパイしているかどうかを知る方法はほとんどありません。

米国政府は、Huaweiが5gネットワークを制御および実装していることを恐れています。これは、通信プロバイダーがユーザーがネットワーク上で行うすべてのことにアクセスできることを理解しているためです。アメリカの電気通信会社は文字通り誰もがしていることすべてを見ることができます。幸いなことに、これらの電気通信会社はほとんどすべてを知っている力を持っていますが、その力が現時点でひどく乱用されているようには見えません。米国政府は、他の国が私たちの市民に対してそのような権力を持っていることを恐れています。

0
Michael d