Questo articolo della rivista MIT Technology Review dice che il Regno Unito ha esaminato le attrezzature Huawei prima del dispiegamento. Fornisce solo un livello limitato di garanzia. I rischi sono la perdita di privacy, spionaggio e sabotaggio.
Ho lasciato l'industria elettronica / informatica anni fa, ma penso che le seguenti opinioni siano ancora applicabili allo stato dell'arte.
Se si intende lo spionaggio, il produttore può rendere difficile l'accesso e l'ispezione del codice di un dispositivo. Un dispositivo di memoria flash potrebbe far parte di un system-on-chip o system-in-package che evita la necessità di presentare linee di memoria sulle superfici del pacchetto. Ciò renderebbe il codice molto scomodo per l'accesso. All'estremo si può ricorrere all'utilizzo di un microscopio elettronico a scansione (SEM). Courbon et al ha utilizzato un SEM per leggere una memoria flash da 210 nm. (L'articolo non è datato ma il riferimento più recente è del 2015, quindi la carta è almeno altrettanto recente.) Se è possibile accedere al codice, è possibile scoprire che è stato offuscato. Codice offuscato viene creato quando il programmatore utilizza un programma per trasformare il codice originale in un Macchina Rube Goldberg . È discutibile se questo sia efficace nel nascondere le backdoor.
Un chip personalizzato può essere un mistero. Un chip "normale" sotto ogni aspetto tranne l'identificazione sembra un mistero. Un produttore può semplicemente stampare false o confuse l'identificazione su uno o più dispositivi su una scheda. Un dispositivo può essere fatto per sembrare standard quando in realtà no. Se qualche entità ben finanziata dovesse investire nella funzionalità di occultamento o occultamento, ci vorrebbe un'enorme quantità di ricerche per determinare il "vero circuito" di ogni singolo progetto. Finché non conosci il vero circuito, qualsiasi controllo del codice non fornisce alcuna garanzia reale.
Se ritieni di dover affrontare molti problemi per determinare il vero circuito e ispezionare il codice per una backdoor, potresti stare meglio progettando e costruendo le tue apparecchiature di telecomunicazione. Più realisticamente si installerebbe una supervisione intrusiva nel design, nella produzione, nel supporto e negli aggiornamenti e forse si assumerebbe il governo societario attraverso la nazionalizzazione di un produttore.
Se non sarai invadente, accetti implicitamente una certa dose di rischio e forse stai facendo affidamento su pressioni commerciali per mantenere il produttore onesto. Questa dipendenza potrebbe portare ad una delusione.
Se gli aggiornamenti sono disabilitati, è possibile concludere che un particolare design non è un rischio per la sicurezza dopo un certo sforzo. Non sapresti se lo sforzo compiuto è insufficiente e che è necessario uno sforzo maggiore. Potrebbe non essere pratico o addirittura sicuro disabilitare gli aggiornamenti. Non appena il codice viene aggiornato non hai alcuna garanzia. Potresti non essere a conoscenza dell'evento di un aggiornamento se il produttore tenta di essere nascosto.