[DefCon 2012] แฮกเกอร์เยอรมันระบุเราท์เตอร์ Huawei ไม่ปลอดภัย
4 สิงหาคม 2012
Huawei เป็นแบรนด์ที่จีนที่เริ่มบุกตลาดระดับผู้ให้บริการได้มากขึ้นเรื่อยๆ จากการตัดราคาคู่แข่งอย่างหนักในช่วงหลัง แต่ที่งาน DefCon นักวิจัยด้านความปลอดภัย Felix Lindner ก็ขึ้นเวทีชำแหละปัญหาความปลอดภัยของสินค้า Huawei ทีละจุดอย่างมาก
การนำเสนอของ Felix (PDF) ไล่ประเด็นนับแต่กระบวนการจัดการกับปัญหาความปลอดภัย โดยเขาชี้ว่า Huawei ไม่มีการรายงานและคำแนะนำด้านความปลอดภัยออกมาสู่สาธารณะ ไม่มีการอัพเดตตามรายการคำแนะนำความปลอดภัยเหล่านั้น โดยลูกค้าต้องติดต่อเป็นกรณีไปเพื่อขออัพเดตด้านความปลอดภัย
เขายังชี้ประเด็นความปลอดภัยของซอฟต์แวร์ VRP (Versatile Routing Platform – ระบบปฎิบัติการของเราท์เตอร์แบบเดียวกับ IOS) ที่มีบั๊กจำนวนมาก เช่นการเว็บเซิร์ฟเวอร์นั้นอาศัยเลขเซสชั่นขนาด 32 บิต แต่เมื่อวิเคราะห์แล้วพบว่าหากแฮกเกอร์ต้องการเดาหมายเลขเซสชั่นก็สามารถเดาได้ภายใน 11 บิตเท่านั้น ทำให้สามรถขโมยเซสชั่นได้โดยไม่ต้องดักฟัง และยังมีปัญหา overflow ตามจุดต่างๆ
หลังจากข่าวนี้ออกมา ทาง Huawei ก็ติดต่อสำนักข่าวต่างๆ ว่าทางบริษัทกำลังยืนยันช่องโหว่ที่ Felix นำเสนอ และระบุว่าทาง Huawei มีกระบวนการในการปกป้องความปลอดภัยของลูกค้าตามมาตรฐานอุตสาหกรรม และที่ผ่านมาทีมงานด้านความปลอดภัยของ Huawei ก็ติดต่อคู่ค้าเพื่อกำหนดการอัพเดตต่างๆ
ที่มา – C|Net
ข่าวจาก Blognone โดย lew
บทความที่เกี่ยวข้อง