Bloomberg's China Spy Chip Story:
Real, or Fake?
華為承認,使用其 HiSilicon 品牌影像監控晶片,影響設備的漏洞,該漏洞可能允許攻擊者,透過後門訪問。
安全研究員 Vladislav Yarmak,在俄羅斯 IT 和電腦科學博客 Habr 上,發布了一份詳細描述該漏洞的報告之後,才承認這一說法。
它使攻擊者可以使用傳輸控制協議(TCP)端口 9530,啟動受影響的設備的 Telnet 服務(默認情況下已禁用)。一旦啟動,攻擊者就可以從設備固件中,獲取密碼或使用蠻力進行訪問。
它使攻擊者可以使用傳輸控制協議(TCP)端口 9530,啟動受影響的設備的 Telnet 服務(默認情況下已禁用)。一旦啟動,攻擊者就可以從設備固件中,獲取密碼或使用蠻力進行訪問。
易受攻擊的設備,包括使用 HiSilicon 監視晶片的各種原始設備製造商(OEM)的數位和網路影像錄影機,以及 IP 攝影機。根據 Yarmak 的說法,受影響的設備似乎僅限於,運行來自中國的監視供應商雄邁的軟體。
大約一年前,華為輪值主席郭平在巴塞隆納世界行動大會上登台,聲稱該公司沒有,也不會植入後門,或允許任何人對其設備進行操作。 但是,看來這家電信巨頭已經做到了。
尚不清楚是否有意種植後門。
尚不清楚是否有意種植後門。
華為堅稱,該漏洞不是其 HiSilicon 晶片或軟體開發工具包引入的。 取而代之的是,華為將責任歸咎於原始設備製造商(OEM),他們表示在交付商業產品之前,未能從海思參考代碼中刪除,用於調試的 Telnet 服務。
華為警告使用 HiSilicon 的客戶,刪除可能造成安全風險的 Telnet 和其他功能。 該公司補充說,已使用其 HiSilicon 晶片,從所有華為品牌的設備中刪除了 Telnet 功能。
此外,該公司表示願意與設備供應商和研究人員合作,以解決該漏洞並保護最終用戶。
華為警告數據漏洞真實性
華為今天還發布了安全公告,警告其某些產品「數據漏洞真實性驗證不充分」。
沒有留言:
張貼留言