Huawei ha aperto alcune “porte informatiche” che avrebbe potuto consentire l'intrusione negli apparati usati da Vodafone Italia, in particolare le Vodafone Station, i router domestici. Lo afferma Bloomberg, che ha esaminato documenti interni sulla cybersicurezza.
L'operatore ha trovato alcune “backdoor” sui prodotti della società di Shenzhen: vulnerabilità nascoste nel software esposte ad attacchi. Il problema è stato identificato da Vodafone tra il 2011 e il 2012 e risolto. Non ci sono prove che la vulnerabilità sia stata sfruttata. La “porta di servizio” c'era, ma non è detto che qualcuno l'abbia varcata.
“Backdoor” è un termine che, in informatica, indica un metodo che lascia aperta una “porta di servizio” (questa la traduzione letterale) per aggirare i controlli e accedere a dati e sistemi altrimenti preclusi. Le backdoor sono spesso previste dagli sviluppatori perché, in alcuni casi, consentono di intervenire in modo rapido e diretto. Ma possono diventare una via d'accesso per ospiti indesiderati. Nel caso di Vodafone-Huawei, secondo Bloomberg, la backdoor avrebbe potuto permettere l'intrusione di terze parti nelle reti fisse.
Vodafone sottolinea però che è “scorretto” parlare di “rete” perché la vulnerabilità non è mai stata “accessibile da Internet”. “La 'backdoor' cui Bloomberg fa riferimento - continua Vodafone - è Telnet, un protocollo comunemente utilizzato da molti fornitori del settore per l’esecuzione di funzioni diagnostiche. Non si è trattato di altro che della mancata rimozione di una funzione diagnostica dopo lo sviluppo”.
Vodafone e Huawei contestano l'uso del termine “backdoor”, preferendo parlare di “vulnerabilità” (cioè, in sostanza, di un generico difetto involontario). La distinzione terminologica (che come tutte le discussione terminologiche è anche una questione di sostanza) è dibattuta anche tra gli esperti del settore. È infatti difficile individuare il confine che divide un bug accidentale da una backdoor volontaria.
Molti sposano la terminologia delle due compagnie e definiscono “una forzatura” parlare di “porta di servizio”. Altri, come Stefano Zanero, professore al Politecnico di Milano, affermano che quelle identificata da Vodafone hanno “tutte le caratteristiche delle backdoor”: “Deniability” (“negabilità”, cioè la possibilità di mettere in discussione la loro natura e la loro origine), possibilità di “accesso” e “tendenza a riproporsi nelle versioni successive del codice”.
Vodafone ha identificato una backdoor presente nei router nel 2011 e da allora ha lavorato per risolvere il problema. Dopo la prima segnalazione, il gruppo cinese ha rassicurato Vodafone, affermando che la “porta di servizio” informatica era stata chiusa. Secondo i documenti interni, però, ulteriori controlli avrebbero verificato che la vulnerabilità non era stata immediatamente risolta.
L'allora capo della sicurezza informatica di Vodafone, Bryan Littlefair, sottolineava la sua “preoccupazione” per il comportamento di Huawei, che dopo aver “accettato di rimuovere il codice”, lo avrebbe prima “nascosto” e poi si sarebbe “rifiutato di rimuoverlo” per questioni legate alla “qualità” del prodotto. Nel 2012, l'operatore ha identificato una backdoor anche su altri dispositivi Huawei adottati nel network Vodafone. “Nel settore delle telecomunicazioni non è raro che le vulnerabilità nelle apparecchiature dei fornitori siano identificate dagli operatori e da altre terze parti”, ha dichiarato Vodafone a Bloomberg.
Anche Huawei conferma di essere stata “informata delle vulnerabilità riscontrate tra il 2011 ed il 2012". "All’epoca avevamo adottato le dovute misure correttive. Come ogni fornitore di ICT, disponiamo di un sistema consolidato di rilevazione e risoluzione dei problemi che, una volta identificati, ci permette di lavorare a stretto contatto con i nostri partner per intraprendere l'azione risolutiva più appropriata. La notizia pubblicata oggi da Bloomberg è fuorviante. Si riferisce infatti a una funzione di manutenzione e diagnostica, comune a tutto il settore, nonché a vulnerabilità che sono state corrette oltre sette anni fa. Non c’è assolutamente nulla di vero nell’allusione a possibili backdoor nascoste negli apparati di Huawei"
Vodafone ha ribadito in una nota che “le vulnerabilità sono state identificate da test di sicurezza indipendenti, avviati nell’ambito delle misure di sicurezza di routine e risolte a suo tempo da Huawei”. E che “le problematiche in Italia sono state tutte risolte tra il 2011 e il 2012”. Secondo le fonti di Bloomberg le backdoor sarebbero rimaste aperte oltre le date indicate, coinvolgendo non solo l'Italia ma anche le attività di Vodafone in Germania, Spagna, Portogallo e Stati Uniti.
Vodafone ha iniziato a utilizzare router Huawei dal 2008. E avrebbe indicato sin da subito alcuni “bug”, sei dei quali definiti “critici”. Sempre secondo i documenti del 2011, Littlefair indicava la backdoor non solo come un problema tecnico ma anche politico, che avrebbe potuto condizionare il futuro del gruppo cinese. Viste le voci che legano Huawei a Pechino, “l'evento renderà ancora più difficile per loro provare che sono onesti”.
Leggi anche: Lo speciale sul 5G
Se i documenti di Vodafone svelano un problema risolto, resta il tema della reputazione del gruppo cinese. Da quando le backdoor sono state identificate, il rapporto tra Vodafone e Huawei non si è allentato. Anzi, è diventato sempre più stretto. Solo per fare qualche esempio recente: Vodafone è titolare del progetto 5G di Milano, che prevede investimenti di 90 milioni in quattro anni e ha Huawei tra i fornitori. A gennaio ha sospeso l'acquisto di componenti cinesi per le reti europee 5G. Allo stesso tempo, però, l'operatore spinge contro il bando integrale di Huawei, perché “costerebbe milioni” e “rallenterebbe in modo significativo” lo sviluppo del 5G.