Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомОбычный офисный настольный телефон может передавать информацию китайскому правительству, утверждается в отчете
Работники колл-центра в Норидже, Норфолк, Великобритания Getty Images
Оставайся на связи
Патрик Такер
Крупный китайский производитель телефонов может подвергнуть риску потребителей, компании и даже данные национальной безопасности США, и сенатор США хочет знать, что Министерство торговли собирается с этим делать.
В письме от 28 сентября, полученном Defense One, сенатор Крис Ван Холлен, доктор медицинских наук, описал отчет, который «вызывает серьезные опасения по поводу безопасности аудиовизуального оборудования, производимого и продаваемого в США китайскими фирмами, такими как Yealink». ."
Yealink не имеет узнаваемого названия скандального китайского телекоммуникационного гиганта Huawei, но его телефоны широко установлены по всей территории Соединенных Штатов, в том числе в правительственных учреждениях. В сентябре Yealink и Verizon объявили о планах продать «первый в стране сотовый настольный телефон 4G/LTE».
В письме Ван Холлен спросил министра торговли Джину Раймондо, известно ли ее агентству об отчете Chain Security, компании из Вирджинии, которая анализирует электронику на предмет безопасности. Он спросил, считает ли она этот анализ заслуживающим доверия, и если да, то что она хочет от Commerce в этом отношении.
Многие из проблем безопасности, поднятых в отчете, аналогичны тем, которые правительство США уже много лет имеет в отношении Huawei. По сути, существует ряд серьезных (но, возможно, непреднамеренных) недостатков безопасности, которые злоумышленник может использовать для кражи данных. Но, в частности, в телефоне Yealink T54W есть некоторые интересные функции, которые явно встроены специально.
В отчете упоминается программное обеспечение Yealink, которое подключает каждый телефон к локальной сети. Названная платформой управления устройствами, или DMP, она позволяет пользователям совершать звонки со своих компьютеров, а сетевым администраторам управлять телефонами. Но это также позволяет Yealink тайно записывать эти телефонные звонки и даже отслеживать, какие веб-сайты посещают пользователи.
«Мы заметили, что если телефон управляется платформой управления устройствами и если компьютер пользователя подключен к телефону для доступа к локальной сети, он собирает информацию о том, что вы просматриваете» на вашем компьютере. », — сказал генеральный директор Chain Security Джефф Стерн. «Метод использования настольного IP-телефона, такого как телефон Yealink, в качестве коммутатора Ethernet для подключения ПК к локальной сети, является обычной деловой практикой. Администратор на этой платформе также может инициировать запись разговора без ведома пользователя… Что они делают это, они дают команду на телефон, чтобы записать звонки».
Стерн сказал, что «эта функция предназначена для использования сотрудником или представителем корпоративного клиента. Однако в каждой системе есть администратор-суперпользователь, или сисадмин. В системах такого типа сисадмин обычно имеет доступ ко всему. Некоторые современные системы, особенно после Сноуден, лиши эту возможность сисадмина. Но нам нужно предположить, что в данном случае это не так и что сисадмин Yealink DMP находится в Китае».
В отчете Chain Security отмечается, что соглашение об обслуживании Yealink требует от пользователей принятия законов Китая, в то время как «соответствующий набор условий обслуживания позволяет активно контролировать пользователей, когда этого требуют «национальные интересы» (это означает национальные интересы Китая)».
Стерн также отметил, что в телефоне не используются цифровые сертификаты для предотвращения несанкционированных изменений в его программном обеспечении. Это значительно упрощает злоумышленникам компрометацию данных на телефоне и, возможно, даже во всей сети, к которой он подключен, без указания ссылки на Yealink. «Без какого-либо монитора, наблюдающего за тем, что происходит на телефоне, вы не узнаете, что эта прошивка установлена, и она может делать все, что вы захотите, с точки зрения наблюдения за вашей сетью и подсетью. Сценарий, который нас беспокоит с таким устройством заключается в том, что он будет следить за вашей сетью, а затем проникать… по сути, в вашу сетевую архитектуру или вашу сетевую реализацию».