Por Nicole Hao
Pesquisadores da gigante americana de tecnologia, Microsoft, revelaram recentemente que descobriram backdoors em certos modelos de laptops da Huawei, que permitiam que usuários sem privilégios tivessem acesso a todos os dados do laptop.
Esta vulnerabilidade é semelhante à técnica DoublePulsar, uma ferramenta de malware que vazou pelo grupo de hackers The Shadow Brokers, no início de 2017. Ela havia infectado mais de 200.000 computadores que possuiam o Microsoft Windows.
O DoublePulsar foi novamente usado para o ataque de ransomware WannaCry, em maio de 2017, que visava computadores Windows em todo o mundo, buscando pagamento em Bitcoin em troca da restauração dos computadores.
Porta dos fundos (Backdoor)
A Microsoft fez uma publicação, em 25 de março, que detalhava como os pesquisadores encontraram a backdoor nos laptops da Huawei e depois resolveram a brecha. A Microsoft disse que depois de ter informado a Huawei sobre a backdoor, o fabricante chinês de tecnologia lançou um patch em 9 de janeiro para consertar a vulnerabilidade.
A Microsoft não especificou quando descobriu a backdoor.
Todos os computadores têm um kernel, que é o núcleo do sistema operacional do computador e pode controlar completamente tudo no dispositivo.
Após os ataques DoublePulsar em 2017, a Microsoft tentou desenvolver ferramentas que pudessem proteger os usuários. A partir do Windows 10, versão 1809, lançada em 13 de novembro de 2018, a Microsoft instalou sensores recém-desenvolvidos para detectar melhor as ameaças do kernel, como o DoublePulsar.
Mas a Microsoft detectou um código injetado “anômalo” nos núcleos do modelo de laptop Huawei, o Matebook.
Após uma investigação mais aprofundada, os engenheiros da Microsoft rastrearam o código para um software de gerenciamento de dispositivos, chamado PCManager, que é pré-instalado nos Huawei Matebooks. O software incluía um driver que permitiria que usuários sem privilégios atualizassem seu nível de acesso ao privilégio sênior. Se esses usuários não privilegiados escalarem para o privilégio Ring-0 mais alto, eles poderão acessar todos os dados no computador e em seu sistema de computação conectado. Se um terceiro conseguir acesso e inserir malware, isso pode arruinar o sistema operacional do computador.
O privilégio de usuário de um computador tem quatro níveis. O privilégio Ring-0 no kernel é o mais alto e permite que os usuários controlem todos os hardwares e softwares.
A Microsoft reportou a vulnerabilidade à Huawei e criou um “mecanismo de detecção que levantaria um alerta para qualquer escalonamento de privilégios bem sucedido” em Matebooks, explicou o blog.
Logo depois, os engenheiros da Microsoft encontraram outra backdoor no Matebook: o mesmo driver inseguro oferecia uma capacidade para usuários sem privilégios de acessar diretamente todos os dados sem ter que atualizar os níveis de privilégios.
Em 9 de janeiro, a Huawei lançou uma correção para essas duas vulnerabilidades.
A mídia tecnológica norte-americana Lightreading, comentou em 29 de março: “A notícia da backdoor é ruim para a Huawei”.
Em um comunicado enviado por email em 3 de abril, a empresa chinesa caracterizou a vulnerabilidade como algo comum no setor.
“A Huawei rejeita veementemente qualquer sugestão ou inferência de que ‘backdoors’ existam no desenvolvimento ou entrega de qualquer um de nossos produtos ou serviços”, diz o comunicado.
Registro da Huawei
A empresa, uma das maiores fabricantes mundiais de equipamentos de telecomunicações, smartphones e outros dispositivos eletrônicos, tem sido criticada por seus laços estreitos com o regime chinês, que os Estados Unidos e outros governos alertaram que significam que seus produtos têm backdoors que permitem acesso ao regime chinês para espionar as pessoas no exterior.
A Huawei nega continuamente essas alegações, inclusive argumentando que nenhum incidente de backdoor foi detectado.
Embora este último incidente da Microsoft não pareça envolver o regime chinês, houve casos documentados demonstrando a responsabilidade da Huawei.
Em janeiro de 2018, o jornal francês Le Monde revelou que os dados do prédio da sede da União Africana estavam sendo transferidos para um servidor em Xangai todas as noites.
A sede da União Africana está localizada em Adis Abeba, Etiópia. O prédio, que custou US$ 200 milhões, foi construído e financiado pelo regime chinês como um presente. A Huawei é uma das fornecedoras do sistema de computação e sistema de telecomunicações do prédio, segundo análise do Australian Strategic Policy Institute, de Canberra, citando conteúdo do próprio site da Huawei e documentos obtidos da União Africana, incluindo contratos para a infraestrutura de TI do sindicato.
O instituto de pesquisa apontou que, embora seja possível que a Huawei não tenha conhecimento do suposto roubo de dados, o esquecimento da empresa seria por causa de uma “preocupação de segurança nacional”.
Enquanto isso, um relatório de novembro de 2018 do Australian Weekend disse que, de acordo com uma fonte da inteligência, a Austrália tem evidências de que funcionários da Huawei foram abordados pelo regime chinês e pressionados a divulgar códigos de acesso e detalhes da rede para invadir uma rede estrangeira.
Os Estados Unidos, a Austrália, a Nova Zelândia e o Japão proibiram a Huawei de seus mercados, alegando preocupações com a segurança. Várias operadoras de telefonia móvel européias também anunciaram recentemente que não usariam os produtos da Huawei para o lançamento da infraestrutura de rede 5G.
Este artigo foi atualizado para incluir um comentário da Huawei.