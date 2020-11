Na společnost Huawei se v poslední době upíná spousta negativní pozornosti. Řada národních bezpečnostních agentur (včetně českého NÚKIBu) ji označila za potenciální bezpečnostní riziko, přičemž některé z nich přistupují k sankcím a zákazům.

Banky jsou v mnoha státech považovány za součást kritické infrastruktury. Musí si tak vyhodnotit svůj postoj k Huawei, zejména v kontextu chytrých telefonů a dalších přenosných zařízení, které zákazníci těchto bank používají k přístupu k digitálnímu bankovnictví. Stejně tak banky nemohou Huawei ignorovat, protože jde v současné době o největšího výrobce smartphonů s globálním tržním podílem kolem dvaceti procent.

Národní bezpečnostní agentury jsou ve svých doporučeních ohledně Huawei poměrně vágní. To může být záměrem, protože dávat specifické rady pro konkrétní odvětví může být komplikované. Výsledkem je to, že banky a finanční sektor často nemají k dispozici jasná pravidla a postupy, jak se s otázkou kolem Huawei vypořádat.

Banky nejčastěji kladou tuto otázku: měli bychom naši bankovní aplikaci publikovat v obchodě Huawei AppGallery (alternativa Google Play Store)? A pokud ano, měli bychom investovat do migrace na Huawei Mobile Services? (HMS je obdoba Google Play Services.)

Na tuto otázku není s jistotou možné jednoduše odpovědět, důvodů je více. Vedle potřeby zvážit bezpečnost ekosystému Huawei a potenciálních rizik ohledně soukromí je také třeba brát v potaz náklady na údržbu aplikace ve třetím tržišti s aplikacemi (vedle Apple App Store a Google Play Store právě Huawei AppGallery).

Na druhou stranu je skoro nemožné ignorovat velkou uživatelskou základnu se zařízeními Huawei. V současné době jde o největšího dodavatele na světě. Na základě prodejních čísel usuzujeme, že zařízení od Huawei na trhu zůstanou.

Naše doporučení zasazujeme do kontextu globální diskuse ohledně Huawei. Mnoho z nich je ale prospěšných i obecně. Banky by je měly zvážit i v případě, že se nechystají zavádět opatření specificky vůči Huawei.

Souhrn doporučení

Banky by měly vydat své aplikace v Huawei AppGallery pouze v případě, že jsou schopny implementovat in-app ochranná opatření. Mělo by jít alespoň o následující věci:

Repackaging protection – Zajišťuje integritu balíčku aplikace, takže funkce aplikace nemohou být modifikovány pomocí metod „at rest“.

– Zajišťuje integritu balíčku aplikace, takže funkce aplikace nemohou být modifikovány pomocí metod „at rest“. Runtime application self-protection (RASP) – Zajišťuje, že s aplikací nelze za běhu manipulovat, a to skrze vkládání cizího kódu prostřednictvím debuggeru, nativních code hooks nebo skrze framework injection.

– Zajišťuje, že s aplikací nelze za běhu manipulovat, a to skrze vkládání cizího kódu prostřednictvím debuggeru, nativních code hooks nebo skrze framework injection. Anti-malware protection – Detekování a reakce na malware v zařízení.

– Detekování a reakce na malware v zařízení. User data protection hardening – Zajištění toho, aby uživatelská data nemohla unikat přes různé kanály, jako jsou nešifrovaná spojení, služby přístupnosti (accessibility services), vlastní klávesnice a podobně.

Banky by dále měly posoudit rizika spojená s možným sociálním a demografickým profilováním jejich zákazníků ze strany Huawei. Měly by vyhodnotit, zda je pro ně dobrý trade-off mezi rozšířením uživatelské báze aplikace a sdílením dat s Huawei.

Finanční instituce, které se rozhodují o zveřejnění aplikací na Huawei AppGallery, by pečlivě měly zvážit investice do implementace Huawei Mobile Services. Doporučujeme aplikaci pro mobilní bankovnictví vydat bez HMS i na úkor ztráty některých funkcí. Minimalizuje to množství dat sdílených s Huawei, stejně jako počáteční náklady na režii v rámci třetího ekosystému.

Banky, které se rozhodnou pro publikování v AppGallery, by měly nasadit proces čtvrtletních bezpečnostních hodnocení. Měly by se zaměřit na kvalitu základních technologií (jako čipy Kirin) či kvality softwaru (HMS). Měly by se vyhodnocovat chyby zabezpečení (Common Vulnerabilities and Exposures, CVE) objevené v mobilním ekosystému Huawei.

Banky v AppGallery by měly identifikovat cenné lidské cíle ve své zákaznické bázi a pečlivě sledovat možná narušení účtu a další rizika spojená s jejich mobilními zařízeními.

Riziko alternativních distribučních kanálů

Další konkrétní detaily ohledně bezpečnosti bankovních aplikací v systému Huawei ve studii, kterou si lze stáhnout zde (PDF), případně pročíst vloženou pod tímto článkem.

Studie se věnuje například ekosystému aplikací. „To, že řada společností nevydá své aplikace pro AppGallery, donutí uživatele upnout se na alternativní distribuční kanály. Uživatelé telefonů Huawei si tak zřejmě odemknou své smartphony pro instalaci aplikací z nedůvěryhodných zdrojů,“ upozorňuje studie s tím, že toto odemčení může mít dopady na bezpečnost.

Dokument v další bodě hodnotí situace kolem nařčení, že je Huawei napojené na čínský stát. Upozorňuje, že chybí jasné důkazy a že by v tomto ohledu byly užitečné jasnější postupy od národních bezpečnostních agentur. Za předpokladu, že čínská vláda má skutečně na Huawei vliv, je dle studie třeba dbát na ochranu vysoce profilovaných cílů či sběr dat.

Dalším bodem je softwarový vývoj, který v případě Huawei – na rozdíl od Googlu – může mít problémy v kvalitě, což způsobuje i zranitelnosti. Huawei je také pomalejší ve vydávání záplat.

Dbát je třeba také na situaci kolem čipů. Huawei je pod tlakem a embargem USA, což mu zkomplikovalo přístup k výrobě, i když se sankce uvolňují (nikoliv v případě 5G sítí). Huawei nedávno udělalo velkou objednávku mobilních čipů Dimensity od MediaTeku. Čipy jsou přitom vysoce důležité, mimo jiné z pohledu kryptografie.