[新闻] 抓到了!华为旗下海思芯片有后门 恐加深

楼主: amego2017   2020-02-06 18:03:45
https://newtalk.tw/news/view/2020-02-06/363068
抓到了!华为旗下海思芯片有后门 恐加深各国对中国产品疑虑
新头壳newtalk | 郜敏 综合报导
发布 2020.02.06 | 16:52
中国企业华为的5G设备正因安全问题被世界各国放大检视,如今又爆出华为旗下的海思(
HiSilicon)芯片被发现有后门,可让有心人借此存取使用该芯片的网络摄影机或闭路电
视所拍到的影像,这项消息恐将加深各国对华为的疑虑。
海思半导体为华为集团旗下的芯片设计公司,产品被应用在数百万的连网装置上,包括监
视器、数位录影机(DVR)及网络硬盘录影机(NVR)等。
综合《The Register》、《Extreme Tech》等多个国外科技网站报导,一名俄罗斯安全研
究人员Vladislav Yarmak发现,海思SoC芯片系统韧体有个远距除错和管理工具,可存取
同个网络的摄影机和闭路电视等产品的内容。只要有人连接特定端口TCP 9530,并开启
Telnet守护程序,就可以凭简单的root帐号和固定密码登入(而且所有装置上的密码都一
样),进而拥有最高权限,可随意存取内容或控制该装置。
Vladislav Yarmak认为,这项漏洞是刻意留存的后门,至少存在于使用 hi3518 SoC 芯片
的大量网络摄影机和闭路电视产品,估计受影响的连网装置有数十万到数百万不等,用户
恐怕无法期待海思修补这项漏洞,只能限制装置本身的网络存取能力,或直接改用其它未
含漏洞的产品,才能确保内部资料的安全。
自美中贸易战以来,美国一直向欧洲各国喊话,强调采用中国企业华为的产品将对国安造
成风险。虽然有些国家始终秉持自己的立场,未对美国的说法全盘买单,但这项消息一出
,无疑重挫华为的信用,且可能会影响更多尚未表态是否采用华为产品的国家的最后决定
作者: chris80634 (超爽的!!! 捡到100块)   2020-02-06 18:06:00
中国到底还有啥正面操作可以看的
作者: motan (警察先生就是这个人)   2020-02-06 18:08:00
怎被老大哥捅了
作者: fox141 (Lunch)   2020-02-06 18:20:00
如果谷歌跟苹果漏洞被发现 大家就没声音了
作者: rodion (r-kan/reminder)   2020-02-06 18:21:00
楼上还是没弄清楚问题所在: 华为背后是专制CCP那个最懂得如何让大家声音不见的CCP
作者: popmentos (汽水 + 曼陀珠)   2020-02-06 18:30:00
用固定密码登入,这是后门不是漏洞喔,这两回事
作者: pipi1983 (放手  N)   2020-02-06 18:30:00
不知道这种后门会不会是ESD、EMI 不会过、功耗太高的 key point
作者: cunankimo (F5)   2020-02-06 18:59:00
分享器 小乌龟这些 管理接口不是也是固定密码???
作者: q30339 (klin)   2020-02-06 19:10:00
不管是否为专制,都是一样不能监控啊
作者: popmentos (汽水 + 曼陀珠)   2020-02-06 19:12:00
https://www.cnblogs.com/mmseh/p/6537924.html可以参考这一篇,有内建指令 OpenTelnet:Forever
作者: higashi1107 (JAY)   2020-02-06 19:14:00
惨,供应链全倒
作者: bloody089 (家是放"心"的地方~)   2020-02-06 19:17:00
这是什么后门!很多都是固定port帐号密码登录!水准...
作者: popmentos (汽水 + 曼陀珠)   2020-02-06 19:19:00
作者: bloody089 (家是放"心"的地方~)   2020-02-06 19:20:00
但是是有安全疑虑没错,后门不会这么简单的!
作者: GodsRevival (行李箱)   2020-02-06 19:23:00
漏洞与后门是有区别的
作者: newper (别当Google不存在)   2020-02-06 19:43:00
这篇应该转去八卦版
作者: laputaca (离歌笑)   2020-02-06 19:51:00
作者: jason0513 (橘子香水)   2020-02-06 20:23:00
之前啾啾鞋有拍一部美国监控人民的 叫 "永久档案"4F说法有问题
作者: zxp9505007 (阿C)   2020-02-06 20:28:00
这叫后面吗...很多监视器不都这样设计吗?
作者: iksion (iksion)   2020-02-06 20:32:00
一堆五毛崩溃 笑死人了
作者: cobrasgo (人鱼线变成鲔鱼线,超帅)   2020-02-06 20:43:00
这再常见也不过的东西,网通厂的厂品除非客户要求关掉不然都嘛有
作者: MEETING0115 (Posey)   2020-02-06 20:47:00
被走后门...
作者: G8AJ (嗯哼)   2020-02-06 20:49:00
新头壳喔 蟑螂们快来
作者: cobrasgo (人鱼线变成鲔鱼线,超帅)   2020-02-06 20:58:00
一个常见的LAN端debuf工具被智缺媒体写成漏洞,无知没关系,还用大声公向世界宣布就可笑了debug
作者: b777787 (冬瓜)   2020-02-06 21:02:00
台北好朋友 韩粉:华为很强
作者: billmin (hahaha)   2020-02-06 21:20:00
客户不会自己改密码喔...
作者: celhw (贪玩的小孩)   2020-02-06 21:31:00
有后门可躲绿蟑螂
作者: mangoldfish (大眼笨金鱼)   2020-02-06 22:20:00
这叫后门?
作者: milescwlin (迈尔思.邪月)   2020-02-06 22:22:00
这个国家怎么一天到晚搞这种东西?
作者: Murasaki0110 (麦当劳欢乐送)   2020-02-06 22:27:00
可悲文组
作者: fox141 (Lunch)   2020-02-06 22:38:00
低能蠢材 开PORT跟CHIP哪有关系?系统厂留的后面。你用高通博通软件用自己留后面也可以啊
作者: zqa0321 (高兴做每件事)   2020-02-06 22:59:00
很会带风向
作者: ljmk1246 (ljmk1246)   2020-02-06 23:06:00
咦原来是八卦版 我还以为是科技版
作者: esl0 (NTU_EE)   2020-02-06 23:14:00
感觉跟上次 supermicro一样
作者: okia3310 (3310)   2020-02-07 00:43:00
带风向 虽然不爽对岸也不是这样
作者: mmnnoo (PP)   2020-02-07 00:44:00
一堆人没买过固定密码的wireless ap和cam.... 唉…听说有个网站上有一堆没改IP cam密码的家庭即时影像,让大家可以live看人家的隐私…
作者: femlro (母猪教谋神异端审问官1.5)   2020-02-07 00:49:00
文组废文发科技版?
作者: unya (蟑螂小猫妹)   2020-02-07 00:58:00
文组?
作者: yocmjc   2020-02-07 01:20:00
一堆人秀破英文单字自以为高人一等
作者: suifong (小火柴)   2020-02-07 01:22:00
安全研究人员 Vladislav Yarmak是文组的?
作者: hizuki (ayaka)   2020-02-07 04:52:00
而且你知道那个debug功能抓图多慢?
作者: cancelpc (阿吉)   2020-02-07 07:25:00
就好像套装机出场默认登入系统不用密码,或固定密码,就是 AMD , 微软的后门一样可笑Intel CPU 就是 Intel 有后门一样可笑高通等一堆公版韧体,本来就有固定密码。用芯片的厂商不改,或停用,就算高通留后门一样可笑之前彭博当打手,还不是发了一堆号称专家找到漏洞的新闻最后勒?只有贸易战打,实际还没确认去找 Intel ME 这个关键字,依照此标准,Intel 的漏洞可多了,且一堆是厂商无法堵上的
作者: tipsofwarren (tipsofwarren)   2020-02-07 08:51:00
1450标准起手式:五毛崩溃
作者: justin1943 (prototype)   2020-02-07 09:11:00
可悲
作者: cicacica (cica)   2020-02-07 09:34:00
小时不读书长大....
作者: cancelpc (阿吉)   2020-02-07 10:01:00
科技版,还一堆人没专业,以政治角度...又不是炒股版
作者: as885212   2020-02-07 10:56:00
漏洞漏的这么危险 使用者还无从得知 到底算不算后门呢核心问题是 固定帐密 代表使用者根本不知道也无法修改
作者: Namukab (不要问)   2020-02-07 11:31:00
固定埠号 默认帐密 这是基本的监视系统啊 除非使用者有去改
作者: mmnnoo (PP)   2020-02-07 12:21:00
https://buzzorange.com/techorange/2014/11/17/a-creepy-website-is-streaming-from-73-000-private-secur-1655653510/
作者: catwei (going nowhere)   2020-02-07 12:45:00
telnet root帐密使用者改不了好吗 这不是后门 但是是安全性漏洞没有错 这只能说研发做得不严谨 扯到中共留后门就可笑了 科技版的素质别搞得跟八卦版一样
作者: mmnnoo (PP)   2020-02-07 12:54:00
https://reurl.cc/VarRk5这个新闻显示出这篇文章的弱智…
作者: rexn (中间)   2020-02-07 15:07:00
五毛崩溃
作者: csfgsj (切割对半)   2020-02-07 21:16:00
无知
作者: Neistpoint (Neistpoint)   2020-02-07 23:31:00
密码admin
作者: hakugetsu (hakugetsu)   2020-02-08 03:02:00
icatch的DVR也这样啊 密码一样还是外网可以连进去的 上个月一大堆icatch的DVR被拿去利用ddos别人 那几天连中华的骨干都撑不住
作者: cob (Cobra)   2020-02-08 08:46:00
文组别乱
作者: pttano (pttano)   2020-02-08 20:56:00
笑死,三楼连后门跟漏洞都搞不清楚,是不是文组阿

Links booklink

Contact Us: admin [ a t ] ucptt.com