2020年8月31日 星期一

.華為應對影像監控晶片後門

Does China have a backdoor 

to your phone?




華為已承認使用其 HiSilicon 品牌影像監控晶片,會影響設備的漏洞,該漏洞可能允許攻擊者透過後門訪問。


安全研究員 Vladislav Yarmak 在俄羅斯 IT 和電腦科學部落格 Habr 上發布了一份詳細描述該漏洞的報告之後,才承認這一說法。它使攻擊者可以使用傳輸控制協議(TCP)介面 9530 啟動受影響的設備的 Telnet 服務,該服務默認情況下處於禁用狀態。一旦啟動,攻擊者就可以從設備固件中獲取密碼或使用蠻力進行訪問。

易受攻擊的設備包括使用 HiSilicon 監視晶片的各種原始設備製造商(OEM)的數位和網路影像錄影機,以及 IP 攝影機。根據 Yarmak 的說法,受影響的設備似乎僅限於運行來自中國監視設備供應商 Xiongmai (雄邁)的軟體。

大約一年前,華為輪值主席郭平在巴塞羅那世界行動大會上登台,聲稱該公司沒有,也不會植入後門或允許任何人,對其設備進行操作。但是,看來這家電信巨頭已經做到了。尚不清楚後門是否被有意種植。

華為堅稱,該漏洞不是其 HiSilicon 晶片或軟體開發工具包引入的。取而代之的是,華為將責任歸咎於原始設備製造商(OEM),他們表示未能在出廠商品之前,從海思參考代碼中刪除用於調試的 Telnet 服務。

華為警告海思客戶刪除可能造成安全隱憂的 Telnet 等功能。該公司補充說,已使用其 HiSilicon 晶片從所有華為品牌的設備中刪除了 Telnet 功能。

此外,該公司表示願意與設備供應商和研究人員合作,解決漏洞並保護最終用戶。


華為警告數據真實性漏洞
華為今天還發布了安全公告,警告其某些產品「數據真實性漏洞驗證不充分」。

該漏洞可能使未經身份驗證的遠端攻擊者能夠攔截和修改在兩個設備之間發送的數據包。 華為尚未詳細說明受影響的設備,並已發佈軟體更新來解決此漏洞。

任何經過翻譯或轉載之中文資訊,我們為了盡量使用台灣常用相關名詞與慣用語法,將與原中文有所變更,但不改內容意義 – 3S MARKET

沒有留言:

張貼留言