Language
Il comune telefono da ufficio potrebbe divulgare informazioni al governo cinese, sostiene il rapporto
CasaCasa > Notizia > Il comune telefono da ufficio potrebbe divulgare informazioni al governo cinese, sostiene il rapporto
ULTIME NOTIZIE

Il comune telefono da ufficio potrebbe divulgare informazioni al governo cinese, sostiene il rapporto

Jun 15, 2023

Lavoratori in un call center a Norwich, Norfolk, Regno Unito Getty Images

Rimani connesso

Patrick Tucker

Un importante produttore di telefoni cinese potrebbe mettere a rischio i consumatori, le aziende e persino i dati di sicurezza nazionale degli Stati Uniti, e un senatore americano vuole sapere cosa farà il Dipartimento del Commercio al riguardo.

In una lettera del 28 settembre ottenuta da Defense One, il senatore Chris Van Hollen, D-Md., ha descritto un rapporto che "solleva serie preoccupazioni sulla sicurezza delle apparecchiature audiovisive prodotte e vendute negli Stati Uniti da aziende cinesi come Yealink ."

Yealink non ha il nome riconosciuto del controverso colosso cinese delle telecomunicazioni Huawei, ma i suoi telefoni sono ampiamente installati in tutti gli Stati Uniti, comprese le agenzie governative. A settembre, Yealink e Verizon hanno annunciato l'intenzione di vendere "il primo telefono cellulare fisso 4G/LTE della nazione".

Nella lettera, Van Hollen ha chiesto al segretario al Commercio Gina Raimondo se la sua agenzia è a conoscenza del rapporto di Chain Security, una società con sede in Virginia che analizza l'elettronica per la sicurezza. Ha chiesto se ritiene credibile la sua analisi e, in tal caso, cosa vuole che Commerce faccia al riguardo.

Molte delle questioni di sicurezza sollevate nel rapporto sono simili a quelle che il governo americano ha da anni riguardo a Huawei. In sostanza, ci sono una serie di grandi, ma forse involontarie, falle di sicurezza che un avversario potrebbe sfruttare per rubare dati. Ma con il telefono Yealink T54W in particolare, ci sono anche alcune funzionalità preoccupanti che sono chiaramente integrate di proposito.

Il rapporto indicava il software Yealink che collega ciascun telefono alla rete locale. Chiamata piattaforma di gestione dei dispositivi o DMP, consente agli utenti di effettuare chiamate dai propri PC e agli amministratori di rete di gestire i telefoni. Ma consente anche a Yealink di registrare segretamente quelle telefonate e persino di monitorare quali siti web stanno visitando gli utenti.

​​"Abbiamo osservato che se il telefono è gestito dalla piattaforma di gestione del dispositivo e se il PC dell'utente è connesso al telefono per accedere a una rete locale, raccoglie informazioni su ciò che stai navigando" sul tuo computer , ha affermato Jeff Stern, CEO di Chain Security. "Il metodo di utilizzare il telefono IP da tavolo come il telefono Yealink come uno switch Ethernet per connettere il PC alla rete locale è una pratica commerciale comune. L'amministratore su quella piattaforma può anche avviare una registrazione di chiamata all'insaputa dell'utente...Cosa lo fanno semplicemente impartendo un comando al telefono per registrare le chiamate."

Stern ha affermato che "questa funzionalità è destinata all'uso da parte di un dipendente o rappresentante di un cliente aziendale. Tuttavia, ogni sistema ha un Superuser Administrator, o SYSADMIN. In questi tipi di sistemi, SYSADMIN in genere ha accesso a tutto. Alcuni sistemi moderni, soprattutto dopo Snowden, nega questa funzionalità al SYSADMIN. Ma dobbiamo supporre che non sia questo il caso qui e che Yealink DMP SYSADMIN sia in Cina."

Il rapporto di Chain Security rileva che il contratto di servizio di Yealink richiede agli utenti di accettare le leggi cinesi, mentre "una serie correlata di termini di servizio consente il monitoraggio attivo degli utenti quando richiesto dall'interesse nazionale (questo significa l'interesse nazionale della Cina)".

Stern ha inoltre osservato che il telefono non utilizza certificati digitali per impedire modifiche non autorizzate al suo software. Ciò rende molto più semplice per gli aggressori compromettere i dati sul telefono e potenzialmente anche l'intera rete a cui è connesso, senza imputarlo a Yealink. "Senza una sorta di monitor che guarda cosa succede sul telefono non sapresti che questo firmware è lì e può fare tutto quello che vuoi in termini di sorveglianza della tua rete e della sottorete. Lo scenario di cui ci preoccupiamo con un dispositivo come questo è che sorveglierà la tua rete e poi estrarrà... essenzialmente la tua architettura di rete o la tua implementazione di rete."