Vlády, univerzity, polícia, noviny a podniky používajú čínske komunikačné zariadenia s bezpečnostnými problémami. Podľa vyšetrovania v spolupráci s flámskymi obchodnými novinami De Tijd holandská polícia, ministerstvá, univerzity, prokuratúra, banky, nemocnice, médiá a spoločnosti pôsobiace v životne dôležitých sektoroch používajú komunikačné zariadenia od čínskej spoločnosti Yealink. Odborníci varujú vládne agentúry pred používaním Yealinku.
Vlády, univerzity, polícia používajú čínske Yealink zariadenia s bezpečnostnými problémami
Čínska spoločnosť Yealink je širokej verejnosti väčšinou neznáma, na rozdiel od iných výrobcov komunikačných a kamerových zariadení ako Huawei, Hikvision a Dahua. Je to hlavne preto, že Yealink sa zameriava na iný trh: nedodáva spotrebiteľský trh, ale vyrába VoIP telefóny a videokonferenčné zariadenia pre veľké spoločnosti, inštitúcie a vlády.
Lydis, distribútor Yealink pre región Beneluxu, nedávno počas webinárov ukázal diapozitívy, na ktorých boli zobrazené logá ich zákazníkov: Philips, Heineken, poisťovňa ASR, stavebná spoločnosť DuraVermeer a fakultné nemocnice Erasmus University Rotterdam a Maastricht University.
Na diapozitívoch sú tiež logá vodárenskej spoločnosti Vitens, prevádzkovateľa energetickej siete Alliander, leteckých spoločností KLM a Transavia a poskytovateľa IT služieb Centric. Z bezpečnostných dôvodov väčšina spoločností nechce zverejniť, aké komunikačné zariadenia používajú; niekoľko, ako napríklad Robeco a Plus, potvrdilo, že sú zákazníkmi.
Sledujte peniaze, ktoré väčšina z nich kontaktovala. Zistili sme, že národná polícia používa „niekoľko stoviek“ zariadení Yealink na „interné rokovania“. Polícia je podľa Lydisa zákazníkom už desať rokov a využíva riadiacu platformu Yealink. Polícia sa k tomu (ani k bezpečnosti používaného zariadenia) nevyjadrila.
Holandská prokuratúra informovala, že už viac ako rok používa „niekoľko tuctov komunikačných zariadení“ od spoločnosti Yealink. Používajú sa najmä na videokonferencie. Sledujte dopyty za peniaze na ministerstvách, vzdelávacích inštitúciách a veľkých spoločnostiach. ING Bank a Unilever používajú produkty Yealink vo veľkom meradle.
Deväť univerzít má vybavenie Yealink. To siaha od niekoľkých slúchadiel (Utrechtská univerzita) až po viac ako 170 štandardných telefónnych zariadení (Maastrichtská univerzita).
Takmer všetky univerzity prestávajú používať zariadenia Yealink alebo tak plánujú urobiť. V novembri 2022 Amsterdamská univerzita „z bezpečnostných dôvodov deaktivovala a odstránila zariadenie Yealink pre konferenčné priestory“. Na konci decembra 2022 sa TU Eindhoven rozhodla stiahnuť z obehu všetky svoje zariadenia Yealink, napriek tomu, že nezistila žiadne známe bezpečnostné riziká.
Spoločnosť TU Delft, ktorá má tri súpravy Yealink pre Teams, tiež prestáva používať toto zariadenie, pretože „nie je možné vylúčiť, že spolupráca s Yealink môže zahŕňať riziká“.
Čínski výrobcovia komunikačných zariadení sú už nejaký čas pod drobnohľadom. Čína má drakonické bezpečnostné zákony, ktoré od technologických spoločností vyžadujú, aby odovzdali používateľské údaje, ak o to vláda požiada. To isté platí pre zahraničné spoločnosti pôsobiace v Číne. Takéto zákony by mohli ďalej prinútiť čínske spoločnosti, aby inštalovali zadné dvierka a ploštice, aby vláda mala prístup k systémom.
Holandský odborník na kybernetickú bezpečnosť Jeroen Hermans zistil, že telefóny Yealink sa pripájajú k serverom Yealink počas konfigurácie a aktualizácií, počas takzvaného procesu poskytovania. “Všetky tieto informácie prechádzajú cez servery výrobcu,” povedal Hermans.
„Dokonca aj citlivé informácie, ako napríklad sériové číslo vášho telefónu a údaje o vašom používaní u vášho poskytovateľa telekomunikačných služieb.
A to si v spoločnosti z krajiny s takouto povinnou legislatívou koleduje o problémy. Čínska vláda možno nebude chcieť prístup ku všetkým telefónom, ale nie je žiadnym tajomstvom, že sa zaujíma o informácie o vládach, nadnárodných spoločnostiach a kritickej infraštruktúre.“
Yealink’s MeetingBar A20 videokonferenčný produkt pre Microsoft Teams, sa tiež pripája k serverom Yealink počas aktualizácií firmvéru, poznamenal holandský expert na kybernetickú bezpečnosť Matthijs Koot.
Koot poukazuje na širší, základný problém s procesom poskytovania: „Vo všeobecnom zmysle možno povedať, že keď sa firmvér takýchto produktov získa zo serverov kontrolovaných spoločnosťou z okresu s útočným kybernetickým programom proti vašej vlastnej krajine, je veľká šanca, že ťa uštipne. Musíte zvážiť možnosť, že aktualizácia môže obsahovať škodlivý kód.“
Problémy so zabezpečením zariadení Yealink
V posledných rokoch sa vyskytli rôzne vážne problémy s bezpečnosťou zariadení Yealink. Niekoľko zákazníkov napriek tomu hovorí, že dôverujú Yealinku a certifikátom, ktoré boli vydané, ako napríklad certifikácia produktov Yealink pre Microsoft Teams. Podľa hovorcu Microsoftu to však nezahŕňa nič, čo sa týka bezpečnosti; Microsoft testoval iba kvalitu zvuku a videa zariadení Yealink.
Odborníci na kybernetickú bezpečnosť objavili na Yealink ďalšie podivné veci. Spoločnosť napríklad tvrdí, že jej manažérska platforma je certifikovaná TÜV Rheinland, globálnym hráčom v tejto oblasti. Ale TÜV, že certifikát bol zrušený na konci augusta 2023. Yealink potvrdzuje, že certifikát bol zrušený.
Lydis povedal, že veľkí poskytovatelia ako KPN, ktorí predávajú Yealink, testujú tieto zariadenia z hľadiska bezpečnosti. To by podľa nich dokázalo, že produkty Yealink sú bezpečné. KPN však argumentuje, že za bezpečnosť svojich produktov je zodpovedný samotný výrobca. Microsoft Netherlands hovorí podobne.
Až donedávna sa na stránke zabezpečenia a dodržiavania predpisov Yealink nachádzalo aj logo KPN; bol nedávno odstránený na žiadosť KPN.
Vyšetrovanie belgických obchodných novín De Tijd odhaľuje, že Štátna bezpečnosť, agentúra národnej bezpečnosti krajiny, je voči spoločnosti opatrná. „Podľa otvorených zdrojov v skutočnosti existujú určité technické bezpečnostné riziká spojené s Yealinkom,“ uviedol hovorca.
„Okrem toho Yealink podlieha čínskym nariadeniam o dodržiavaní pravidiel týkajúcich sa prístupu čínskej vlády k údajom zhromaždeným Yealinkom,“ varuje.