Language
Teléfono de oficina común podría estar filtrando información al gobierno chino, alega informe
HogarHogar > Noticias > Teléfono de oficina común podría estar filtrando información al gobierno chino, alega informe
ÚLTIMAS NOTICIAS

Teléfono de oficina común podría estar filtrando información al gobierno chino, alega informe

Jun 15, 2023

Trabajadores en un centro de llamadas en Norwich, Norfolk, Reino Unido Getty Images

Mantente conectado

patricio tucker

Un importante fabricante chino de teléfonos podría estar poniendo en riesgo a los consumidores, las empresas e incluso los datos de seguridad nacional de los EE. UU., y un senador de los EE. UU. quiere saber qué va a hacer el Departamento de Comercio al respecto.

En una carta del 28 de septiembre obtenida por Defense One, el senador Chris Van Hollen, D-Md., describió un informe que "plantea serias preocupaciones sobre la seguridad de los equipos audiovisuales producidos y vendidos en los EE. UU. por empresas chinas como Yealink ."

Yealink no tiene el reconocimiento de nombre del controvertido gigante chino de telecomunicaciones Huawei, pero sus teléfonos están ampliamente instalados en los Estados Unidos, incluso en agencias gubernamentales. En septiembre, Yealink y Verizon anunciaron planes para vender "el primer teléfono celular de escritorio 4G/LTE del país".

En la carta, Van Hollen preguntó a la secretaria de Comercio, Gina Raimondo, si su agencia está al tanto del informe de Chain Security, una empresa con sede en Virginia que analiza la seguridad de los productos electrónicos. Le preguntó si ella considera que su análisis es creíble y, de ser así, qué quiere que haga Comercio al respecto.

Muchos de los problemas de seguridad planteados en el informe son similares a los que el gobierno de EE. UU. ha tenido durante años sobre Huawei. En esencia, hay una serie de fallas de seguridad grandes, pero posiblemente no intencionales, que un adversario podría usar para robar datos. Pero con el teléfono Yealink T54W en particular, también hay algunas características preocupantes que están claramente integradas a propósito.

El informe apuntó al software Yealink que conecta cada teléfono a la red local. Llamada plataforma de administración de dispositivos, o DMP, permite a los usuarios realizar llamadas desde sus PC y a los administradores de red administrar los teléfonos. Pero también permite a Yealink grabar en secreto esas llamadas telefónicas e incluso rastrear qué sitios web están visitando los usuarios.

​​"Observamos que si el teléfono está siendo administrado por la plataforma de administración de dispositivos, y si la PC del usuario está conectada al teléfono para acceder a una red de área local, está recopilando información sobre lo que está navegando" en su computadora , dijo el CEO de Chain Security, Jeff Stern. "El método de usar el teléfono IP de escritorio, como el teléfono Yealink, como un conmutador Ethernet para conectar la PC a la red de área local es una práctica comercial común. El administrador de esa plataforma también puede iniciar una grabación de llamada sin el conocimiento del usuario... ¿Qué lo que hacen es enviar un comando al teléfono para grabar las llamadas".

Stern dijo que "esta función está diseñada para que la use el empleado o representante de un cliente empresarial. Sin embargo, cada sistema tiene un administrador de superusuario o SYSADMIN. En este tipo de sistemas, SYSADMIN generalmente tiene acceso a todo. Algunos sistemas modernos, especialmente después de Snowden, niegue esta capacidad a SYSADMIN. Pero debemos asumir que este no es el caso aquí y que Yealink DMP SYSADMIN está en China".

El informe de Chain Security señala que el acuerdo de servicio de Yealink requiere que los usuarios acepten las leyes de China, mientras que "un conjunto relacionado de términos de servicio permite el monitoreo activo de los usuarios cuando lo requiera el 'interés nacional' (esto significa el interés nacional de China)".

Stern también señaló que el teléfono tampoco utiliza certificados digitales para evitar cambios no autorizados en su software. Eso hace que sea mucho más fácil para los atacantes comprometer los datos del teléfono y potencialmente incluso toda la red a la que está conectado, sin atribuirlo a Yealink. "Sin algún tipo de monitor que vigile lo que sucede en el teléfono, no sabría que este firmware está allí y puede hacer lo que quiera en términos de vigilancia de su red y la subred. El escenario que nos preocupa con un dispositivo como este es que vigilará su red y luego filtrará... esencialmente su arquitectura de red o su implementación de red".

La falta de un requisito de firma de firmware no es exactamente desconocida. Stern lo llamó un "viejo error". Pero dijo: "No hay razón para que viejos errores como este continúen ahí. Como, esto es malo".

Defense One preguntó a un portavoz de Verizon si la empresa estaba vendiendo teléfonos con Yealink DMP y sin certificados digitales. El portavoz dijo inicialmente que la compañía había personalizado el DMP para abordar problemas relacionados con la seguridad y las actualizaciones de firmware.

Esa respuesta dejó a Stern con más preguntas. "¿Quién está haciendo la personalización del firmware? ¿Tiene [Verizon] una licencia para modificar el código fuente del firmware? ¿Planea [Verizon] hacer pruebas de penetración en el firmware antes de lanzarlo a sus usuarios? ¿[Verizon] hace el código fuente análisis de seguridad en todo el firmware que recibe de Yealink?"

Pero después de la publicación de este artículo, un segundo portavoz de Verizon dijo que la declaración original de la compañía era incorrecta. Verizon "NO usa el DMP al que se hace referencia en el artículo. El acceso al DMP [de Yealink] está completamente bloqueado en el firmware personalizado de Verizon. Verizon no tiene exposición de DMP".

El segundo portavoz también dijo: "Todos los teléfonos de escritorio de One Talk utilizan certificados Cybertrust que se validan para todas las actividades de arranque de dispositivos y actualización segura de firmware".

Pero Verizon está lejos de ser el único distribuidor de teléfonos Yealink. Y Stern encontró una variedad de problemas además del DMP y el certificado de firmware.

Stern también descubrió que el teléfono intercambia mensajes cifrados con un servidor en la nube basado en China, Alibaba Cloud, varias veces al día. No puede programar el teléfono para que no haga eso. Para detenerlo, puede configurar el enrutador de red de su organización para prohibir el intercambio, pero solo si sabe que el teléfono lo está haciendo en primer lugar.

Los teléfonos Yealink también contienen una unidad de microprocesador especializada de un fabricante chino de chips llamado Rockchip. Por supuesto, los chips chinos se encuentran en todo tipo de dispositivos y los expertos en seguridad pueden probar la mayoría de ellos en busca de errores. Pero este no ha pasado por las mismas pruebas porque, dice Stern, Rockchip lo diseñó específicamente para Yealink. "Este es claramente un producto especializado, basado en el número de modelo desarrollado para Yealink y no hay vulnerabilidades documentadas contra las que mitigar. Excepto que hay vulnerabilidades, ¿verdad? Porque todo tiene vulnerabilidades. Es solo que nadie lo informa porque es un ficha”, dijo.

Eso no significa exactamente que algo esté mal con el chip, pero no ha recibido el mismo tipo de escrutinio que reciben otros componentes más ampliamente distribuidos.

Un experto en la industria de las telecomunicaciones que está familiarizado con el informe, pero no ayudó a escribirlo y no está afiliado a Chain Security, describió a la empresa como de confianza. El experto no respaldó ni cuestionó ninguno de los hallazgos del informe, pero dijo que el lenguaje en el acuerdo de servicio de Yealink por sí solo era suficiente para justificar una revisión por parte del gobierno. "El hecho de que usted [refiriéndose a Yealink] esté sujeto a la ley china, eso es algo que el gobierno debe saber".

Si el Departamento de Comercio investiga las inquietudes del informe y las considera válidas, Yealink podría encontrarse en un camino similar al de Huawei, incluido en una lista de tecnologías no confiables que los clientes gubernamentales no pueden comprar. El experto de la industria dijo que no había un proceso establecido o un cronograma para que ocurrieran tales determinaciones.

Stern dijo que creía que los teléfonos Yealink estaban en oficinas gubernamentales, ya que el mercado gubernamental de teléfonos IP es de aproximadamente $300 millones, según su análisis, y Yealink es uno de los diez principales proveedores. Una búsqueda en la web muestra los manuales de Yealink cargados como referencia a los sitios web de muchas agencias locales, estatales y federales.

La oficina de Van Hollen no proporcionó ningún detalle adicional sobre por qué habían enviado la carta al Departamento de Comercio. Un portavoz de Van Hollen dijo que "la carta realmente habla por sí sola: el senador simplemente busca más información".

El 28 de diciembre, el Departamento de Comercio respondió a Van Hollen en una carta separada obtenida por Defense One. "Nos tomamos estos asuntos con seriedad", escribió Wynn W. Coggins, director financiero interino y subsecretario de administración. "El Departamento de Comercio comparte sus preocupaciones sobre la seguridad de la cadena de suministro de Servicios y Tecnologías de la Información y las Comunicaciones (TICS) y las amenazas a esa cadena de suministro que plantean nuestros adversarios extranjeros y está trabajando activamente para abordar esas preocupaciones".

Yealink no respondió a una solicitud de comentarios sobre esta historia.

Esta historia se ha actualizado para reflejar declaraciones adicionales de Verizon.

PRÓXIMA HISTORIA:2021 Top Ten: tecnología

PRÓXIMA HISTORIA: