Confiança Comprometida: Explorando as Vulnerabilidades Técnicas e as Apostas Geopolíticas da Huawei na Infraestrutura do Governo dos EUA
2202
wp-singular,post-template-default,single,single-post,postid-2202,single-format-standard,wp-theme-bridge,bridge-core-3.3.3,qode-optimizer-1.2.2,qode-page-transition-enabled,ajax_fade,page_not_loaded,,qode-title-hidden,qode_enable_button_white_space,qode-smooth-scroll-enabled,qode-theme-ver-30.8.5,qode-theme-bridge,disabled_footer_bottom,qode_advanced_footer_responsive_1024,wpb-js-composer js-comp-ver-8.1,vc_responsive

03 Sep Confiança Comprometida: Explorando as Vulnerabilidades Técnicas e as Apostas Geopolíticas da Huawei na Infraestrutura do Governo dos EUA

Posted at 23:15h in Analysis by

Por,

Dr. Luis O. Noguerol, membro sênior, MSI2

Introdução

A Criticidade de Proteger Informações Confidenciais do Governo

Na era digital, os governos dependem de sistemas robustos e seguros para trocar dados altamente sensíveis. Violações de comunicações militares classificadas, compartilhamento de inteligência ou cabos diplomáticos podem ter consequências catastróficas para a segurança nacional, alianças estrangeiras e confiança pública. Portanto, a garantia de confidencialidade e integridade de ponta a ponta é uma prioridade técnica e política não negociável em qualquer sistema de comunicações governamentais.

Huawei como um Estudo de Caso: Contexto, Relevância Geopolítica e Uso no Setor Público

A Huawei é um dos maiores fornecedores mundiais de equipamentos de telecomunicações e redes. Aproveitando décadas de rápida inovação e investimento apoiado pelo Estado, penetrou com sucesso em mercados de infraestrutura pública na Ásia, Europa, África e Américas. Em numerosos países, incluindo aqueles dentro da OTAN e da UE, os componentes da Huawei formaram a espinha dorsal da infraestrutura pública de telecomunicações, plataformas de interceptação judicial e até serviços de nuvem governamentais.

Essa adoção generalizada não está isenta de controvérsias: alegações de roubo de propriedade intelectual, opacidade regulatória e, mais criticamente, vínculos cada vez mais profundos com o governo chinês (particularmente suas agências de inteligência e militares) colocaram a Huawei no centro dos debates de segurança global.

Visão Geral dos Riscos Técnicos: Vulnerabilidades de Hardware

Uma preocupação principal é a possibilidade de “backdoors” incorporados no nível de hardware (rotas indetectáveis que poderiam permitir que atores externos espionassem, controlassem ou interrompessem comunicações). Investigações nos EUA e em nações aliadas citaram cenários de risco onde adulteração na cadeia de suprimentos ou chipsets proprietários permitem acesso privilegiado e não monitorado aos fluxos de dados governamentais.

Uma complicação adicional é a falta de certificação independente e transparente das etapas da cadeia de suprimentos. Os equipamentos da Huawei, em virtude dos padrões opacos de verificação da China, são difíceis de auditar de forma conclusiva, o que significa que falhas não intencionais ou ameaças intencionais podem permanecer indetectadas ao longo do ciclo de vida do produto.

Riscos de Software e Atualizações de Firmware

Os dispositivos da Huawei executam sistemas operacionais e firmware complexos e proprietários. A análise técnica demonstrou que funções não documentadas (às vezes descobertas por pesquisadores independentes) criam oportunidades para extração não autorizada de dados.

Os mecanismos de atualização remota, que são essenciais para corrigir vulnerabilidades, também podem ser armados: se um fornecedor for obrigado por lei nacional a habilitar acesso encoberto ou vigilância, a execução remota de código poderia se tornar uma porta de entrada para espionagem. Sob a Lei de Inteligência Nacional da China, empresas como a Huawei podem ser legalmente obrigadas a cumprir tais solicitações, mesmo além de fronteiras internacionais.

Unsplash

Fundamentos Legais e Políticos: Sinopse da Legislação Chinesa e Mandatos Estatais

A Lei de Inteligência Nacional da China de 2017 e a Lei de Segurança de Dados de 2021 obrigam empresas domésticas a apoiar operações de inteligência estatal, o que pode incluir conceder acesso ou facilitar a coleta de dados estrangeiros armazenados ou transmitidos em seus sistemas.

Esse mandato legal introduz um risco profundo: mesmo que a arquitetura técnica seja segura em teoria, a cooperação secreta com agências estatais pode anular quaisquer contramedidas técnicas. Isso muda tudo: a Huawei, por lei, deve manter o governo chinês informado sobre as conexões que manipulam e os dados relacionados (veja a referência em chinês e use a função de tradução do navegador para acessar a lei original).

Estudos de Caso de Exfiltração de Dados Documentados

Precedentes proeminentes ressaltam esses riscos. Na violação de dados da sede da União Africana, descobriu-se que os servidores fornecidos pela Huawei transmitiam regularmente dados confidenciais para servidores na China durante vários anos.

Acusações semelhantes surgiram na Europa e nas Américas, apoiadas por análises forenses técnicas e relatórios de inteligência que sugerem que canais de exfiltração de dados — seja intencionais ou devido a controles de acesso fracos — são um perigo claro e presente onde o equipamento da Huawei é implantado para funções governamentais sensíveis.

Vulnerabilidades do Mundo Real: Resumo de CVEs Publicadas Relevantes para Huawei

Na última década, um corpo crescente de Vulnerabilidades e Exposições Comuns (CVEs) destacou fraquezas em software e hardware da Huawei, incluindo:

  • Controles de acesso insuficientes ou defeituosos que permitem escalonamento de privilégios ou acesso não autorizado ao sistema.
  • Explorações que permitem transmissão de dados sensíveis não criptografados ou mal criptografados, tornando viável a interceptação e adulteração.
  • Vulnerabilidades em interfaces de administração remota, permitindo que atacantes assumam o controle de ativos críticos de rede.

Evidência Citada pelos EUA e Aliados

Revisões técnicas do Departamento de Defesa dos EUA, FBI, FCC e parceiros internacionais citaram repetidamente a falta de certificação significativa de terceiros e a ausência persistente de contramedidas efetivas na abordagem da Huawei para garantia de confidencialidade.

Numerosas proibições nos EUA, Reino Unido, Austrália e partes da Europa são atribuídas diretamente a essas lacunas de segurança não resolvidas. Isso, por si só, é uma recomendação direta, embora informal, para não usar a Huawei em nada relacionado ao governo.

Espionagem e Preocupações de Segurança Nacional: Mecanismos de Vigilância Incorporados e Perda de Soberania dos Dados

O medo mais agudo é que qualquer governo que implante a Huawei para comunicações confidenciais não possa garantir controle exclusivo sobre seus próprios dados. Mesmo quando representantes da Huawei negam backdoors ou acessos não autorizados a dados, a realidade técnica é que o acesso remoto mandatado pelo Estado (sob a lei chinesa) poderia ser implementado de formas sutis e difíceis de detectar, especialmente através de firmware ou exploits de atualização remota.

Riscos para o Compartilhamento de Inteligência e Coordenação

Essa incerteza persistente levou os Estados Unidos e os aliados do Five Eyes a suspender ou condicionar a cooperação de inteligência com países que usam infraestrutura da Huawei para troca de dados críticos ou classificados.

Na Espanha, por exemplo, legisladores norte-americanos pediram a redação de inteligência compartilhada por temores de que sistemas baseados na Huawei pudessem vazar informações operacionais sensíveis para a comunidade de inteligência chinesa, um movimento que poderia paralisar parcerias de segurança baseadas na confiança.

Contra-argumentos e Posição do Fornecedor

Posição Oficial da Huawei

Representantes da Huawei negam regularmente alegações de fornecer backdoors governamentais ou acesso não autorizado a dados. A empresa enfatiza seu compromisso com a conformidade legal nos países anfitriões, convida auditorias independentes e destaca a falta de evidências públicas que apoiem sabotagem ou atividade deliberada de backdoor em suas implementações comerciais.

Revisão de Auditorias Independentes

Embora algumas auditorias técnicas (incluindo avaliações do Reino Unido e da UE) revisem periodicamente código e hardware da Huawei, esses processos foram limitados em escopo ou profundidade. A opacidade das etapas da cadeia de suprimentos e a impossibilidade de descartar características deliberadas e ocultas minam a confiança de que componentes vulneráveis ou maliciosos possam ser definitivamente excluídos de sistemas operacionais.

Isso, por si só, deveria ser suficiente para não usar a Huawei em nenhuma operação relacionada ao governo.

Recomendações de Política e Defesa

Modelos de Fornecedores Alternativos e Abordagens de Confiança Zero

Uma postura defensiva robusta exige mais do que correções técnicas. Governos devem adotar um paradigma de confiança zero, presumir que nenhum equipamento de um único fornecedor é absolutamente seguro, usar diversificação de fornecedores e impor higiene rigorosa da cadeia de suprimentos que obrigue auditorias independentes e contínuas em todos os níveis da pilha.

Avaliação Contínua de Vulnerabilidades e Conformidade

Redes governamentais devem implantar varredura contínua de vulnerabilidades, marcos de conformidade rigorosos (modelados em padrões como NIST SP 800-53) e exigir rotação regular ou remoção de hardware de procedência incerta, especialmente para sistemas que manipulam comunicações classificadas ou sensíveis.

Aprofundando no Sistema Operacional e Explorando Por Que Usuários Finais Estão Fascinados pela Huawei: Realidades, Mitos e Dúvidas

O HarmonyOS da Huawei usa um sistema de segurança forte e em múltiplas camadas para proteger dispositivos, manter dados seguros e parar hackers. Ele combina segurança de hardware, pequenos núcleos seguros no sistema central e regras estritas sobre quem pode acessar o quê.

Note que o HarmonyOS é usado principalmente em ecossistemas de dispositivos IoT, como smartphones, tablets, televisores inteligentes e outros dispositivos de consumo inteligentes, enquanto os dispositivos de rede e segurança da Huawei operam principalmente em plataformas de sistemas operacionais especializadas e proprietárias, como aquelas da família Xinghe Intelligent Network Solution e HiSecEngine.

Aqui está como funciona em termos simples:

  • Níveis de Segurança para Dispositivos: O sistema operacional agrupa dispositivos em cinco níveis de segurança, de SL1 a SL5. Quanto mais alto o nível, mais fortes são as proteções. Dispositivos SL5 têm hardware especial que impede adulterações e software que é cuidadosamente verificado para evitar erros ou backdoors. Cada nível adiciona mais recursos de segurança, como inicialização segura, defesa contra ataques e proteção extra para informações privadas.
  • Blocos de Construção de Segurança de Hardware: O sistema usa três proteções importantes de hardware chamadas Raízes de Confiança, que oferecem:
    • Proteção de Inicialização: garante que, quando um dispositivo é ligado, apenas software seguro e aprovado começa a rodar.
    • Proteção de Armazenamento: mantém chaves secretas e informações privadas bloqueadas e seguras dentro do dispositivo.
    • Proteção de Processamento: usa hardware especial para executar tarefas sensíveis em uma área protegida, de modo que nenhum hacker ou software malicioso possa espioná-las ou alterá-las.
  • Pequeno Núcleo Seguro (Microkernel): Diferente de sistemas operacionais maiores, onde muitos componentes operam com amplos privilégios e são mais vulneráveis a erros ou ataques, este mantém seu núcleo mínimo e executa serviços adicionais em isolamento. Esse design garante que, se uma parte for comprometida, as outras permaneçam protegidas.
  • O sistema também usa verificações matemáticas especiais chamadas verificação formal para garantir que o núcleo não tenha erros ou pontos fracos.
  • Quem Pode Acessar o Quê: O OS é rigoroso sobre quem pode usar o quê, baseado principalmente em dois sistemas combinados:
    • Um que garante que usuários ou aplicativos não acessem dados além de seu nível de permissão (rótulos de segurança).
    • Outro em que os donos de arquivos decidem quem pode ler ou escrever seus arquivos.
  • Apenas aplicativos e atualizações com “assinaturas” oficiais (selos confiáveis) podem ser instalados. Softwares desconhecidos são bloqueados. Dispositivos de baixa segurança não podem controlar ou enganar dispositivos de alta segurança — por exemplo, sua pulseira fitness não pode fazer um grande pagamento pelo seu telefone sem permissão.
  • Defesa Contra Ataques Comuns: O sistema usa “canários” — uma verificação especial dentro da memória para capturar truques de hackers que tentam transbordar ou corromper a área de memória, parando ataques antes que causem danos.
  • Protocolos de Comunicação Especiais: O HarmonyOS usa seu próprio sistema de rede seguro chamado DSoftBus para conectar dispositivos. Ele descobre com segurança quem está na rede, verifica identidades e criptografa todos os dados enviados entre dispositivos para manter conversas privadas e seguras.

A falta de transparência, novamente, é preocupante. Além disso, conectar dispositivos de fabricantes com posturas de segurança opacas, como a Huawei, a infraestruturas de segurança empresarial como firewalls da Cisco, Fortinet ou CheckPoint apresenta riscos técnicos significativos.

Análises de firmware revelam que os dispositivos da Huawei contêm uma alta densidade de vulnerabilidades conhecidas, com média de mais de 100 por dispositivo, incluindo problemas críticos e de alta gravidade.

Apoio Político das Agências do Governo dos EUA à Proibição da Huawei

A proibição da Huawei foi introduzida e principalmente aplicada pela administração Trump. Em maio de 2019, o presidente Trump assinou uma ordem executiva projetada para proteger a cadeia de suprimentos de tecnologia da informação e comunicações.

Sob a administração Biden, essas restrições foram em grande parte mantidas e até ampliadas. Novas regras foram implementadas para proibir mais vendas de equipamentos da Huawei por empresas norte-americanas e para impedir que a Huawei obtenha novas licenças desde 2021.

Conclusões

A Huawei integrou habilmente diversos componentes de sistemas operacionais para comercializar seus produtos como inovadores e seguros. No entanto, essa conquista é ofuscada pela completa e inegável negligência daqueles encarregados de decisões de aquisição. Esses tomadores de decisão ignoraram flagrantemente detalhes técnicos críticos, demonstrando total falta de conhecimento e experiência em cibersegurança.

É nada menos que catastrófico que entidades governamentais responsáveis por proteger a infraestrutura nacional tenham se deixado enganar por garantias superficiais e apresentações sofisticadas — o que só pode ser descrito como o “efeito do bom falador”.

A adoção da tecnologia da Huawei por parte do governo foi feita por indivíduos que exibiram uma alarmante deficiência em conhecimento técnico e experiência em cibersegurança, baseando suas conclusões não em análises rigorosas ou avaliação informada, mas sim em buscas superficiais na internet e opiniões recicladas.

Isso reflete uma falha catastrófica de governança e supervisão técnica, colocando a segurança nacional em risco inaceitável.

Referências

Bangkok Post. (2023, 28 de setembro). Huawei busca transparência em cibersegurança. https://www.bangkokpost.com/business/general/2654730/huawei-eyes-cybersecurity-

BBC News. (2022, 25 de novembro). EUA proíbem a venda de tecnologia da Huawei e da ZTE em meio a temores de segurança. https://www.bbc.com/news/world-us-canada-63764450

Bloomberg. (2025, 14 de maio). O que o retorno da Huawei diz sobre a guerra tecnológica EUA-China. https://www.bloomberg.com/news/articles/2025-05-14/china-s-huawei-how-did-it-survive-bans-by-us-and-allies

China Law Translate. (s. d.). Lei de Inteligência Nacional da R.P.C. (2017). https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/

Conselho de Relações Exteriores. (2019, 11 de junho). A Huawei da China é uma ameaça à segurança nacional dos EUA? https://www.cfr.org/backgrounder/chinas-huawei-threat-us-national-security

EM360Tech. (2025, 16 de fevereiro). Por que a Huawei foi proibida? Um olhar sobre o gigante das telecomunicações. https://em360tech.com/tech-articles/why-was-huawei-banned-look-telecoms-giant

Comissão Federal de Comunicações [FCC]. (2024, 13 de fevereiro). A FCC proíbe a venda de novos dispositivos das empresas chinesas Huawei, ZTE e outras. https://cset.georgetown.edu/article/fcc-bans-sale-of-new-devices-from-chinese-companies-huawei-zte-and-others/

Fortinet. (2024). O que é um firewall? Definição e tipos de firewall. https://www.fortinet.com/lat/resources/cyberglossary/firewall

G2. (2024, 6 de novembro). Top 10 alternativas e concorrentes de segurança de rede da Huawei. https://www.g2.com/products/huawei-network-security/competitors/alternatives/

Huawei. (2019, 4 de março). Transparência – Centro de Transparência de Cibersegurança da Huawei. https://www.huawei.com/en/trust-center/transparency

Kaspersky. (2019). O que é um firewall? Como funcionam e tipos. https://www.kaspersky.es/resource-center/definitions/firewall

NPC Observer. (2025, 3 de agosto). Lei de Inteligência Nacional. https://npcobserver.com/legislation/national-intelligence-law/

PeerSpot. (2024, 31 de dezembro). Top 10 alternativas e concorrentes de proteção inteligente de rede da Huawei. https://www.peerspot.com/products/huawei-network-intelligent-protection-alternatives-and-competitors

Reuters. (2022, 25 de novembro). EUA proíbem novas vendas de equipamentos da Huawei e da ZTE, citando risco de segurança nacional. https://www.reuters.com/business/media-telecom/us-fcc-bans-equipment-sales-imports-zte-huawei-over-national-security-risk-2022-11-25/

SelectHub. (2025, 6 de julho). Principais alternativas e concorrentes de firewall da Huawei 2025. https://www.selecthub.com/firewall-software/huawei-firewall/alternatives/

Talaat, T. (2025, 9 de julho). A posição estratégica da Huawei no Quadrante Mágico da Gartner. LinkedIn. https://www.linkedin.com/pulse/huaweis-strategic-position-gartner-magic-quadrant-analysis-talaat-tpxof

Departamento de Estado dos EUA. (2020, 30 de novembro). Os Estados Unidos restringem ainda mais o acesso da Huawei à tecnologia norte-americana. https://2017-2021.state.gov/the-united-states-further-restricts-huawei-access-to-u-s-technology/

Wikipedia contributors. (2019, 3 de abril). Críticas à Huawei. Em Wikipedia. https://en.wikipedia.org/wiki/Criticism_of_Huawei

中华人民共和国全国人民代表大会. (2017). 中华人民共和国国家情报法 [Lei de Inteligência Nacional da República Popular da China] [em chinês]. http://www.npc.gov.cn/npc/index.html

As opiniões expressas neste artigo são do autor e não refletem necessariamente as opiniões do Miami Strategic Intelligence Institute (MSI²).

Tags:
, , ,