据国防一号(defenseone.com)1月7日的报道,该媒体获得的一封信中,马里兰州民主党参议员克里斯·范·霍伦(Chris Van Hollen)向商务部表达了他的担忧,称一家中国电话制造商可能会将美国消费者、公司甚至国家安全数据置于危险之中。这封信写于2021年9月28日,援引了一份由Chain Security安全公司撰写的分析报告,该报告对中国亿联网络生产的T54W IP商务电话及亿联设备管理平台(YDMP)进行了供应链安全分析,再次触发了美国对中国公司(如亿联网络)在美国生产和销售的视听设备的安全问题的严重担忧。亿联网络(Yealink)的知名度不如有争议的中国电信巨头华为,但它的电话在美国各地被广泛使用,包括在政府机构中。2021年9月,Yealink和Verizon宣布计划销售“美国第一款4G/LTE移动台式电话”。
在霍伦的信中,他询问商务部长吉娜·雷蒙多(Gina Raimondo),商务部是否知道Chain Security公司的这份报告。Chain Security是一家总部位于弗吉尼亚州的分析电子产品安全性的公司。询问她是否认为该分析可信,如果可信,她希望商务部能够对此做些什么。如果美国商务部调查了这份报告的担忧,并发现这些担忧是正确的,Yealink可能会发现自己走上了与华为类似的道路,被列入不值得信任的技术名单,政府客户不允许购买这些技术。该行业专家表示,目前还没有确定做出这类决定的程序或时间表。
Chain Security公司的报告中提出的许多安全问题,与美国政府多年来针对华为的问题类似。从本质上说,存在许多大的但可能是无意的安全漏洞,对手可以利用这些漏洞窃取数据。尤其是Yealink T54W IP电话,也有一些明显是故意内置的令人担忧的功能。
报告指出,Yealink软件将每部电话连接到本地网络。它被称为设备管理平台(DMP),允许用户从自己的电脑上拨打电话,网络管理员可以对电话进行管理。但它也允许Yealink秘密记录这些电话,甚至跟踪用户访问的网站。
Chain Security首席执行官杰夫•斯特恩(Jeff Stern)表示:“我们观察到,如果电话是由设备管理平台管理的,如果用户的个人电脑连接到电话以访问局域网,它就会收集有关你在网上冲浪的信息。”“使用桌面IP电话(如Yealink电话)作为以太网交换机将PC机连接到局域网的方法是一种常见的业务实践。该平台的管理员也可以在用户不知情的情况下发起通话录音……他们所做的就是向电话发出命令来记录通话。”
Stern澄清说:“这个功能是为企业客户的员工或代表而设计的。但是,每个系统都有一个超级管理员(SYSADMIN)。在这类系统中,SYSADMIN通常可以访问所有内容。一些现代系统,特别是斯诺登事件之后,拒绝让SYSADMIN具备这种能力。但我们需要假设,这里的情况并非如此,而Yealink DMP系统管理员在中国。”
Chain Security公司的报告还指出,亿联的服务协议要求用户接受中国的法律,而“相关的服务条款允许在‘国家利益’(这意味着中国的国家利益)要求的时候,对用户进行主动监控。”
Stern还指出,这款电话也没有使用数字证书来防止未经授权的软件更改。这使得攻击者更容易破坏电话上的数据,甚至可能破坏它所连接的整个网络,而不需要归咎于Yealink。“如果没有某种监视器来监视电话上发生的事情,你就不会知道这个固件在那里,它可以做任何你想做的事情,监视你的网络和子网。我们担心的是,这种设备会监视你的网络,然后窃取你的网络架构或网络实现。”尽管斯特恩称缺乏固件签名是一个“老问题”,但他表示,“像这样的老错误没有理由继续存在。”这太糟糕了。”
Verizon的一名发言人表示,Yealink的DMP“是为满足Verizon的定制需求而设计的”,这种定制与安全性相关联的;通过DMP 设备进行功能管理;固件管理和远程诊断。
这个回答给Stern留下了更多的问题。“谁在做固件定制?”Verizon是否有修改固件源代码的许可?Verizon计划在发布固件之前对其进行渗透测试吗?Verizon是否会对从Yealink收到的所有固件进行源代码安全分析?”
Stern还发现,这些电话每天会多次与中国的云服务器阿里云交换加密信息。你不能让电话不这么做。要停止它,你必须连接到企业的网络路由器,并禁止交换。但如果你一开始就不知道电话在做这件事,你就无法阻止它。
此外,中国芯片制造商瑞芯国际(Rockchip)还推出了一款专门的微处理器。当然,中国芯片存在于各种各样的设备中,安全专家可以测试大多数设备的漏洞。但Stern说,这款芯片没有经过同样的测试,因为它是瑞芯国际专门为Yealink设计的。“根据为Yealink开发的型号,这显然是一款专门的产品,而且没有记录在案的漏洞可以用来缓解。因为任何事物都有弱点。只是因为这是一种专门的芯片,所以没有人报道它。”确切地说,这并不意味着芯片有什么问题,但它还没有受到其他更广泛分布的组件所受到的那种审查。
一位熟悉该报告的电信行业专家表示,Chain Security公司信誉良好,但他没有参与撰写该报告,也与Chain Security公司没有任何关系。这位专家对该报告的任何发现都没有表示赞同或质疑,但他表示,仅Yealink服务协议中的措辞就足以让政府对其进行审查。“他们(指的是Yealink)受到中国法律的约束,这是政府需要知道的事情。”
Stern说,他相信Yealink电话已在政府办公室使用,因为根据他的分析,政府的IP电话市场约为3亿美元,而Yealink是十大供应商之一。网络搜索显示,许多地方、州和联邦机构的网站上都上传了Yealink手册作为参考。
范.霍伦的办公室没有提供任何额外的细节,说明他们为什么要把这封信寄给商务部。范·霍伦的一位发言人说:“这封信本身就说明了一切——参议员只是在寻求更多的信息。”
2021年12月28日,DefenseOne获得了商务部回复霍伦的另一封信。“我们认真对待这些问题,”代理首席财务官兼行政助理秘书长Wynn W. Coggins写道。“商务部与你们一样,对信息通信技术和服务(ICT)供应链的安全以及我们的外国对手对该供应链构成的威胁感到担忧,并正在积极努力解决这些担忧。”
参考资源
1、https://www.defenseone.com/technology/2022/01/common-office-desk-phone-could-be-leaking-info-chinese-government-report-alleges/360500/
2、https://www.yealink.com/product/voice-communication-t54w
3、https://chainsecurity.com/about/
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
