華為又被外國(guó)人盯上了，這次是海思芯片。

海思的 SoC 有后門？

2 月 5 日，俄羅斯安全研究員 Vladislav Yarmak 在技術(shù)博客平臺(tái) Habr 發(fā)表了一篇有關(guān)他在華為海思芯片中發(fā)現(xiàn)的后門程序的詳細(xì)信息。他表示，該后門程序已被全球數(shù)百萬(wàn)智能設(shè)備使用，例如，安全攝像機(jī)、DVR（Digital Video Recorder，數(shù)字視頻錄像機(jī)）、NVR（Network Video Recorder，網(wǎng)絡(luò)視頻錄像機(jī)）等。

目前，關(guān)于這一后門的固件修復(fù)程序并不可用，因?yàn)?Yarmak 并未向海思報(bào)告該問題——他并不認(rèn)為海思方面會(huì)正確解決此問題。

在早些時(shí)候發(fā)布給 Habr 的詳細(xì)技術(shù)摘要中，Yarmak 表示，后門程序?qū)嶋H上是四個(gè)舊安全漏洞/后門的混搭，這些漏洞此前在 2013 年 3 月、2017 年 3 月、2017 年 7 月和 2017 年 9 月發(fā)現(xiàn)并已經(jīng)被公開 。

Yarmak 還宣稱： 

顯然，多年來(lái)，海思不愿或無(wú)法為同一個(gè)后門提供足夠的安全修復(fù)程序，而后門是有意實(shí)施的。

所謂的后門是如何工作的？

根據(jù) Yarmak 的說(shuō)法，可以通過(guò)在 TCP 端口 9530 上向使用海思芯片的設(shè)備（這些設(shè)備運(yùn)行 Linux，固件易受攻擊的設(shè)備運(yùn)行了 macGuarder 或 dvrHelper 進(jìn)程，并在 TCP 端口 9530 上接受連接）發(fā)送一系列命令來(lái)利用后門。

這些命令將在易受攻擊的設(shè)備上啟用 Telnet 服務(wù)。

雷鋒網(wǎng)了解到，Telnet 是 TCP/IP 協(xié)議族中的一員，是 Internet 遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。在終端使用者的電腦上使用 Telnet 程序，用它連接到服務(wù)器。終端使用者可以在 Telnet 程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣。

Yarmak 說(shuō)，一旦 Telnet 服務(wù)啟動(dòng)并運(yùn)行，攻擊者就可以使用下面列出的六個(gè) Telnet 登錄憑據(jù)之一登錄，并獲得對(duì) Root 帳戶的訪問權(quán)限，該 Root 帳戶授予他們對(duì)易受攻擊的設(shè)備的完全控制權(quán)。 

圖片：弗拉迪斯拉夫·亞瑪克（Vladislav Yarmak）

Yarmak 還宣稱，這些 Telnet 登錄方式在過(guò)去幾年中已在海思芯片固件中進(jìn)行了硬編碼，盡管有公開報(bào)道，但是海思還是選擇保留原樣并禁用了 Telnet 守護(hù)程序。

所謂的 “概念驗(yàn)證代碼”

由于 Yarmak 并不想將漏洞報(bào)告給海思，因此固件補(bǔ)丁不可用。 而是，安全研究人員創(chuàng)建了概念驗(yàn)證（Proof of Concept, PoC）代碼 ，可用于測(cè)試是否有 “智能” 設(shè)備正在海思 SoC 之上運(yùn)行，以及該 SoC 是否容易受到可以啟用其 Telnet 服務(wù)的攻擊。

Yarmak 認(rèn)為，如果發(fā)現(xiàn)某個(gè)設(shè)備容易受到攻擊，設(shè)備所有者應(yīng)放棄并更換設(shè)備。

Yarmak 表示：

考慮到早期針對(duì)該漏洞的虛假修補(bǔ)程序（實(shí)際上是后門程序），期望廠商提供固件的安全修補(bǔ)程序是不切實(shí)際的……這類設(shè)備的所有者應(yīng)考慮改用其他設(shè)備。

如果設(shè)備所有者負(fù)擔(dān)不起新設(shè)備的價(jià)格，Yarmak 建議用戶 “應(yīng)該將對(duì)這些設(shè)備的網(wǎng)絡(luò)訪問完全限制在受信任的用戶范圍內(nèi)”，尤其是在設(shè)備端口 23/tcp，9530/tcp，9527/tcp 上——這些都是可以在攻擊中被利用的端口。

值得一提的是，這份所謂的概念驗(yàn)證代碼可在 GitHub 上獲得，Habr 也在帖子中也提供了概念驗(yàn)證代碼的構(gòu)建和使用說(shuō)明。

至于影響，Yarmak 說(shuō)，易受攻擊的海思芯片很可能隨同來(lái)自眾多品牌和標(biāo)簽的無(wú)數(shù)白標(biāo)簽供應(yīng)商的設(shè)備一起發(fā)貨。雷鋒網(wǎng)注意到，在這里，他還引用了另一位研究人員的工作，該研究人員于 2017 年 9 月在海思固件中追蹤了類似的后門機(jī)制，該機(jī)制被數(shù)十家供應(yīng)商出售的 DVR 使用。 

海思應(yīng)該背鍋嗎？

看起來(lái)，這次的后門漏洞應(yīng)該由海思來(lái)負(fù)責(zé)。

然而，在博客發(fā)出后，一位名為 Berlic 的讀者在博客下方表示：

您正在談?wù)摰能浖?yīng)該由 Xiongmai（杭州雄邁科技有限公司，XMtech）制造。定制的 busybox 和 dvrHelper 支持 Sofia 二進(jìn)制文件。許多中國(guó)的無(wú)名公司只是將其刻錄到相機(jī)模塊中，因?yàn)樗梢哉９ぷ鳌：Ｋ?SoC 本身和補(bǔ)充軟件（HiSilicon SDK 中的 Linux 內(nèi)核和內(nèi)核模塊）沒有此漏洞 。我自己僅使用 HiSilicon SDK 中的內(nèi)核和模塊為基于 HiSilicon 的相機(jī)制作了固件，并且沒有任何后門。 

Berlic 還舉例稱：AXIS 確實(shí)在某些相機(jī)中使用了海思芯片，它們卻并沒有危險(xiǎn)。

于是，在 Habr 博客平臺(tái)的后續(xù)更新內(nèi)容中，這個(gè)名為 Yarmak 的研究院又表示： 

其他研究人員和 HaBr 用戶指出，此類漏洞僅限于基于 Xiongmai（杭州雄邁科技有限公司，XMtech）軟件的設(shè)備，包括其他銷售基于此類軟件的供應(yīng)商的產(chǎn)品。目前，海思不能對(duì) dvrHelper / macGuarder 二進(jìn)制文件中的后門程序負(fù)責(zé)。

雷鋒網(wǎng)注意到，Yarmak 在博客下方的評(píng)論區(qū)中也承認(rèn)，后門程序是基于杭州雄邁科技有限公司的一款型號(hào)為 HI3518C_50H10L 的設(shè)備發(fā)現(xiàn)的。

這樣的話，情況已經(jīng)非常明朗了：

基于海思 SoC 的設(shè)備的確出了漏洞，但這個(gè)漏洞并不是海思的問題，而是設(shè)備供應(yīng)商的問題。

盡管如此，依然有外媒不依不饒。

比如說(shuō)，外媒 Extremetech 認(rèn)為：盡管這個(gè)聲明讓華為或海思免于承擔(dān)后門本身的責(zé)任，但是華為應(yīng)當(dāng)對(duì)其所發(fā)布的代碼進(jìn)行審核；而且，更嚴(yán)重的是，正如 Yarmak 所討論的那樣，這已不是第一次甚至第二次報(bào)告給華為海思方面。

只能說(shuō)，何患無(wú)辭呀。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。