cookieOptions = {...}; .華為應對影像監控晶片後門 - 3S Market「全球智慧科技應用」市場資訊網

3S MARKET

2020年7月8日 星期三

Bloomberg's China Spy Chip Story: 

Real, or Fake?


華為承認,使用其 HiSilicon 品牌影像監控晶片,影響設備的漏洞,該漏洞可能允許攻擊者,透過後門訪問。


安全研究員 Vladislav Yarmak,在俄羅斯 IT 和電腦科學博客 Habr 上,發布了一份詳細描述該漏洞的報告之後,才承認這一說法。

它使攻擊者可以使用傳輸控制協議(TCP)端口 9530,啟動受影響的設備的 Telnet 服務(默認情況下已禁用)。一旦啟動,攻擊者就可以從設備固件中,獲取密碼或使用蠻力進行訪問。

易受攻擊的設備,包括使用 HiSilicon 監視晶片的各種原始設備製造商(OEM)的數位和網路影像錄影機,以及 IP 攝影機。根據 Yarmak 的說法,受影響的設備似乎僅限於,運行來自中國的監視供應商雄邁的軟體。

大約一年前,華為輪值主席郭平在巴塞隆納世界行動大會上登台,聲稱該公司沒有,也不會植入後門,或允許任何人對其設備進行操作。 但是,看來這家電信巨頭已經做到了。

尚不清楚是否有意種植後門。


華為堅稱,該漏洞不是其 HiSilicon 晶片或軟體開發工具包引入的。 取而代之的是,華為將責任歸咎於原始設備製造商(OEM),他們表示在交付商業產品之前,未能從海思參考代碼中刪除,用於調試的 Telnet 服務。

華為警告使用 HiSilicon 的客戶,刪除可能造成安全風險的 Telnet 和其他功能。 該公司補充說,已使用其 HiSilicon 晶片,從所有華為品牌的設備中刪除了 Telnet 功能。

此外,該公司表示願意與設備供應商和研究人員合作,以解決該漏洞並保護最終用戶。


華為警告數據漏洞真實性
華為今天還發布了安全公告,警告其某些產品「數據漏洞真實性驗證不充分」。

該漏洞可能使未經身份驗證的遠端攻擊者,能夠攔截和修改在兩個設備之間發送的數據包。 華為尚未詳細說明受影響的設備,並已發佈軟體更新來解決此漏洞。

0 意見: