Esto el artículo de MIT Technology Review dice que el Reino Unido ha estado examinando los equipos de Huawei antes de la implementación. Proporciona sólo un nivel limitado de seguridad. Los riesgos son la pérdida de privacidad, espionaje y sabotaje.
Abandoné la industria de la electrónica / computación hace años, pero creo que las siguientes vistas siguen siendo aplicables al estado del arte.
Si se pretende espionaje, el fabricante puede dificultar el acceso y la inspección del código de un dispositivo. Un dispositivo de memoria flash puede ser parte de un sistema en chip o sistema en paquete que elimina la necesidad de presentar líneas de memoria en las superficies del paquete. Esto haría que el código sea muy inconveniente para el acceso. En el extremo, puede recurrir al uso de un microscopio electrónico de barrido (SEM). Courbon et al usaron un SEM para leer una memoria flash de 210 nm. (El artículo no está fechado, pero la referencia más reciente es de 2015, por lo que el documento es al menos tan reciente). Si puede acceder al código, puede encontrar que fue ofuscado. Código ofuscado se crea cuando el programador utiliza un programa para convertir el código original en un Rube Goldberg machine . Es discutible si esto es efectivo ocultando puertas traseras.
Un chip personalizado puede ser un misterio. Un chip "normal" en todos los sentidos, excepto la identificación, parece un misterio. Un fabricante puede simplemente imprimir una identificación falsa o confusa en uno o más de los dispositivos en una pizarra. Se puede hacer que un dispositivo parezca estándar cuando en realidad no lo es. Si alguna entidad bien financiada invirtiera en ocultar o disfrazar la funcionalidad, se necesitaría una gran cantidad de investigación para determinar el "verdadero circuito" de cualquier diseño único. Hasta que no conozca el circuito real, cualquier inspección del código no ofrece ninguna garantía real.
Si cree que debe tomarse muchas molestias para determinar el verdadero circuito e inspeccionar el código de una puerta trasera, puede ser mejor que solo diseñe y construya su propio equipo de telecomunicaciones. De manera más realista, instalaría una supervisión intrusiva en el diseño, la fabricación, el soporte y las actualizaciones, y tal vez asumiría el gobierno corporativo a través de la nacionalización de un fabricante.
Si no va a ser intrusivo, está aceptando implícitamente una cierta cantidad de riesgo y quizás confíe en las presiones comerciales para mantener al fabricante honesto. Esa confianza puede llevar a la decepción.
Si las actualizaciones están deshabilitadas, podría concluir que un diseño en particular no es un riesgo de seguridad luego de un cierto esfuerzo. No sabría si el esfuerzo realizado es insuficiente y se necesita un esfuerzo mayor. Puede que no sea práctico o incluso seguro desactivar las actualizaciones. Tan pronto como el código se actualiza, no tiene ninguna garantía. Es posible que no esté al tanto del evento de una actualización si el fabricante intenta ser sigiloso.