Le vulnerabilità di Yealink mostrano quanto la sicurezza sia importante nelle UCC
Nel bene e nel male, la raccolta dei dati è una cosa alla quale molti di noi si sono abituati. Dai cookie delle pagine al tracciamento delle ricerche sul web, la nostra attività su internet viene abitualmente monitorata, tanto che questo è ormai un fatto generalmente accettato.
Detto questo, per quanto abituati a un certo livello di monitoraggio del web, saremmo scioccati nell’apprendere che una cosa simile accade con i sistemi telefonici aziendali. Dopotutto, è molto insolito che i telefoni dell’ufficio raccolgano attivamente dati su di noi, in particolare perché la maggior parte delle aziende scambia, attraverso le chiamate, informazioni altamente riservate.
Che cosa succederebbe se dovesse emergere che il vostro sistema telefonico è capace di ascoltarvi attivamente?
Peggio ancora, che cosa succederebbe se non aveste neppure la certezza di sapere chi c’è all’altro capo?
Preoccupazioni per la Sicurezza di Yealink
Queste domande sono particolarmente rilevanti, specialmente ora, in seguito a un preoccupante rapporto riguardante il fornitore cinese Yealink e ai loro dispositivi T54W, che hanno sollevato dubbi e preoccupazioni sulla privacy e la sicurezza dell’hardware aziendale.
Il 28 settembre dello scorso anno, il senatore degli Stati Uniti Chris Van Hollen (Partito Democratico, stato del Maryland) ha presentato una lettera al Dipartimento del Commercio degli Stati Uniti facendo riferimento a un rapporto condotto dalla società di consulenza Chain Security. In quel rapporto, Chain Security ha notato numerose falle nella sicurezza nei dispositivi Yealink, insieme a numerose funzionalità che sembrano raccogliere intenzionalmente i dati dei clienti.
Ma a preoccupare ancor di più è il fatto che il rapporto di Chain Security indica come “altamente probabile” che Yealink stia condividendo le informazioni dei clienti direttamente con il governo cinese, soprattutto attraverso il proprio sistema hardware.
Questa raccolta di dati sembra avvenire principalmente attraverso il modo in cui i telefoni Yealink si interfacciano con le reti aziendali e i PC. I dispositivi Yealink fanno uso di una piattaforma di gestione dei dispositivi (DMP) per connettersi ai programmi in esecuzione sul PC. Per lo più, questo sarebbe perfettamente normale per la stragrande maggioranza degli hardware VoIP che si connettono a un sistema basato su PC.
Ciò che è meno normale e del tutto allarmante è il fatto che la DMP di Yealink sia poi in grado di registrare le chiamate vocali e di tracciare la cronologia web su quel PC, il tutto all’insaputa dell’utente finale.
Potenziali Componenti di Tracciamento
Secondo il rapporto di Chain Security, la DMP di Yealink “raccoglie e conserva l’indirizzo IP WAN” del dispositivo dell’utente e può registrare il traffico web dei dispositivi ad esso collegati. Questo in aggiunta a come la DMP raccoglie le registrazioni delle chiamate condotte sia sul telefono che su qualsiasi altro dispositivo ad esso collegato.
Tutto questo è degno di nota in particolare perché la DMP di Yealink può essere gestita da un dipendente Yealink da remoto, che può utilizzare la piattaforma per accedere a qualsiasi dato raccolto, sia che si tratti di indirizzi IP, traffico web o intere registrazioni di chiamate.
Ancora più preoccupante è il fatto che, usando la DMP di Yealink, i dipendenti di Yealink possono attivare a piacimento e da remoto la registrazione di una chiamata attiva e conservare tale registrazione.
Pare che questo accesso non sia usato da Yealink su base occasionale. Chain Security nota anche che, durante le “normali operazioni”, i telefoni Yealink comunicano con i server cinesi di AliCloud, suggerendo un potenziale controllo e intercettazione dello stesso tipo di quello sopra descritto.
Metaforicamente parlando, niente di tutto questo può essere considerato un vero e proprio incendio, ma l’attività di monitoraggio combinata con il contatto del server è di certo una questione fumosa. Come riporta Chain Security, le cose diventano ancora più sospette se consideriamo i legami diretti e di lunga data tra Yealink e il governo cinese e il continuo scambio di dati in corso.
Problemi di Sicurezza più Ampi
Al di là di questi problemi, i dispositivi Yealink in questione sembrano avere difetti di sicurezza di base che possono compromettere un intero server aziendale.
Chain Security sottolinea che i telefoni Yealink sono “preconfigurati per accettare credenziali di connessione e accesso al dispositivo da 187 Certificate Authority ‘fidate'”. In altre parole, all’insaputa dell’utente, i dispositivi Yealink possono essere accessibili da un gran numero di altre entità, il che significa che se uno di questi utenti viene compromesso, l’accesso alle reti degli utenti Yealink sarà molto facile.
In ogni caso, gli hacker potrebbero anche non aver bisogno di risultare come un’autorità “fidata”. L’accesso al dispositivo è ulteriormente incoraggiato dal fatto che il sistema non è in grado di proteggersi da tentativi di login forzati, il che significa che gli hacker sono in grado di accedere semplicemente indovinando le credenziali di accesso.
Come se questo non fosse abbastanza, i dispositivi Yealink non possiedono le firme digitali standard per validare le modifiche al firmware. Di conseguenza, se attori esterni ottengono l’accesso ai telefoni, possono immediatamente sovrascrivere il software, a condizione che il nuovo firmware sia compatibile con l’hardware.
Un hacker potrà quindi facilmente installare un firmware che sorveglia non solo ciò che è registrato sul telefono Yealink (utilizzando la suddetta raccolta dati), ma anche l’attività di tutta la rete aziendale.
Considerazioni Finali sui Dispositivi Yealink
Abbiamo quindi un telefono che può registrare le chiamate, l’indirizzo IP e l’attività web in qualsiasi momento e senza che l’utente finale lo sappia, trasferendo questi dati altrove.
Mentre è facile assumere che i dati finiranno a Yealink o anche al governo cinese, è altrettanto possibile che agenti completamente sconosciuti possano sfruttare le vulnerabilità di questi telefoni per i propri scopi. In entrambi i casi, il risultato è davvero poco desiderabile per qualsiasi azienda.
A detta di tutti, anche in un’epoca in cui la raccolta dati è scontata, la sicurezza dei telefoni Yealink rende possibile un grado di controllo superiore a quanto qualsiasi azienda dovrebbe essere disposta a tollerare.
Grandi vantaggi
Mentre questo dovrebbe servire da monito per chiunque sia interessato ai telefoni Yealink in particolare, possiamo anche trarre delle conclusioni sulla sicurezza più ampie.
Innanzitutto, è da notare che sarebbe ridicolo usare questo esempio per mettere in dubbio tutto l’hardware prodotto in Cina; dopotutto, una quantità enorme di dispositivi sono prodotti in Cina e non sono minimamente sfiorati da problemi di questo genere.
Le questioni principali sono quelle riguardanti la sicurezza e la fiducia in generale. Come mostra questo esempio, l’hardware di comunicazione ha il potenziale per interferire con la vostra privacy, fino al punto di fungere da dispositivo di controllo nascosto proprio sulla vostra scrivania.
Per essere al sicuro, è fondamentale potersi fidare del produttore dei dispositivi VoIP. Il fornitore deve essere in grado di dimostrare di adottare misure di sicurezza efficaci e di rinunciare al controllo dei dispositivi al di fuori di eventuali aggiornamenti software necessari.
Nel valutare un nuovo fornitore, quindi, ci sono molte domande importanti da porsi: per esempio, quanto insiste il fornitore sui parametri di sicurezza del proprio hardware? Che ruolo ha il fornitore nella gestione del dispositivo, dopo che è stato venduto? Quali legami ha il vostro fornitore con altre entità che potrebbero desiderare le informazioni relative alla vostra azienda?
Se un fornitore dovesse mantenere l’accesso permanente alla DMP, questo dovrebbe essere un segnale di allarme. Le facoltà di controllo da remoto, in questo caso, sono reali: nel migliore dei casi si tratterà di un problema di scarsa sicurezza, mentre, nel peggiore, di tentativi di data mining.
Per proteggere il vostro business, è fondamentale soppesare questi fattori come qualsiasi altra questione relativa alla sicurezza. Se il vostro fornitore non è affidabile nella protezione della vostra privacy, perché affidarcisi? E se stessero chiaramente condividendo i dati con un governo coinvolto in una guerra dell’informazione, la situazione si farebbe certo più problematica.
Quando valutate le opzioni a disposizione per l’hardware, dunque, non considerate solo la sicurezza in termini generali. Altrettanto vitale è considerare quanta fiducia potete riporre nel fornitore per essere al sicuro, o meglio, valutare se il fornitore in questione può rappresentare una potenziale minaccia alla sicurezza.
Per vedere come Wildix interviene sulla sicurezza nei nostri sistemi UCC, dai un’occhiata al nostro white paper gratuito.
Per ulteriori aggiornamenti sulla sicurezza nelle UCC, iscriviti qui per ricevere gratuitamente il nostro magazine!