華為又被外國人盯上了，這次是海思芯片。

海思的 SoC 有后門？

2 月 5 日，俄羅斯安全研究員 Vladislav Yarmak 在技術(shù)博客平臺 Habr 發(fā)表了一篇有關(guān)他在華為海思芯片中發(fā)現(xiàn)的后門程序的詳細(xì)信息。他表示，該后門程序已被全球數(shù)百萬智能設(shè)備使用，例如，安全攝像機、DVR（Digital Video Recorder，數(shù)字視頻錄像機）、NVR（Network Video Recorder，網(wǎng)絡(luò)視頻錄像機）等。

目前，關(guān)于這一后門的固件修復(fù)程序并不可用，因為 Yarmak 并未向海思報告該問題——他并不認(rèn)為海思方面會正確解決此問題。

在早些時候發(fā)布給 Habr 的詳細(xì)技術(shù)摘要中，Yarmak 表示，后門程序?qū)嶋H上是四個舊安全漏洞/后門的混搭，這些漏洞此前在 2013 年 3 月、2017 年 3 月、2017 年 7 月和 2017 年 9 月發(fā)現(xiàn)并已經(jīng)被公開 。

Yarmak 還宣稱： 

顯然，多年來，海思不愿或無法為同一個后門提供足夠的安全修復(fù)程序，而后門是有意實施的。

所謂的后門是如何工作的？

根據(jù) Yarmak 的說法，可以通過在 TCP 端口 9530 上向使用海思芯片的設(shè)備（這些設(shè)備運行 Linux，固件易受攻擊的設(shè)備運行了 macGuarder 或 dvrHelper 進程，并在 TCP 端口 9530 上接受連接）發(fā)送一系列命令來利用后門。

這些命令將在易受攻擊的設(shè)備上啟用 Telnet 服務(wù)。

雷鋒網(wǎng)了解到，Telnet 是 TCP/IP 協(xié)議族中的一員，是 Internet 遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了在本地計算機上完成遠(yuǎn)程主機工作的能力。在終端使用者的電腦上使用 Telnet 程序，用它連接到服務(wù)器。終端使用者可以在 Telnet 程序中輸入命令，這些命令會在服務(wù)器上運行，就像直接在服務(wù)器的控制臺上輸入一樣。

Yarmak 說，一旦 Telnet 服務(wù)啟動并運行，攻擊者就可以使用下面列出的六個 Telnet 登錄憑據(jù)之一登錄，并獲得對 Root 帳戶的訪問權(quán)限，該 Root 帳戶授予他們對易受攻擊的設(shè)備的完全控制權(quán)。 

圖片：弗拉迪斯拉夫·亞瑪克（Vladislav Yarmak）

Yarmak 還宣稱，這些 Telnet 登錄方式在過去幾年中已在海思芯片固件中進行了硬編碼，盡管有公開報道，但是海思還是選擇保留原樣并禁用了 Telnet 守護程序。

所謂的 “概念驗證代碼”

由于 Yarmak 并不想將漏洞報告給海思，因此固件補丁不可用。 而是，安全研究人員創(chuàng)建了概念驗證（Proof of Concept, PoC）代碼 ，可用于測試是否有 “智能” 設(shè)備正在海思 SoC 之上運行，以及該 SoC 是否容易受到可以啟用其 Telnet 服務(wù)的攻擊。

Yarmak 認(rèn)為，如果發(fā)現(xiàn)某個設(shè)備容易受到攻擊，設(shè)備所有者應(yīng)放棄并更換設(shè)備。

Yarmak 表示：

考慮到早期針對該漏洞的虛假修補程序（實際上是后門程序），期望廠商提供固件的安全修補程序是不切實際的……這類設(shè)備的所有者應(yīng)考慮改用其他設(shè)備。

如果設(shè)備所有者負(fù)擔(dān)不起新設(shè)備的價格，Yarmak 建議用戶 “應(yīng)該將對這些設(shè)備的網(wǎng)絡(luò)訪問完全限制在受信任的用戶范圍內(nèi)”，尤其是在設(shè)備端口 23/tcp，9530/tcp，9527/tcp 上——這些都是可以在攻擊中被利用的端口。

值得一提的是，這份所謂的概念驗證代碼可在 GitHub 上獲得，Habr 也在帖子中也提供了概念驗證代碼的構(gòu)建和使用說明。

至于影響，Yarmak 說，易受攻擊的海思芯片很可能隨同來自眾多品牌和標(biāo)簽的無數(shù)白標(biāo)簽供應(yīng)商的設(shè)備一起發(fā)貨。雷鋒網(wǎng)注意到，在這里，他還引用了另一位研究人員的工作，該研究人員于 2017 年 9 月在海思固件中追蹤了類似的后門機制，該機制被數(shù)十家供應(yīng)商出售的 DVR 使用。 

海思應(yīng)該背鍋嗎？

看起來，這次的后門漏洞應(yīng)該由海思來負(fù)責(zé)。

然而，在博客發(fā)出后，一位名為 Berlic 的讀者在博客下方表示：

您正在談?wù)摰能浖?yīng)該由 Xiongmai（杭州雄邁科技有限公司，XMtech）制造。定制的 busybox 和 dvrHelper 支持 Sofia 二進制文件。許多中國的無名公司只是將其刻錄到相機模塊中，因為它可以正常工作。海思 SoC 本身和補充軟件（HiSilicon SDK 中的 Linux 內(nèi)核和內(nèi)核模塊）沒有此漏洞 。我自己僅使用 HiSilicon SDK 中的內(nèi)核和模塊為基于 HiSilicon 的相機制作了固件，并且沒有任何后門。 

Berlic 還舉例稱：AXIS 確實在某些相機中使用了海思芯片，它們卻并沒有危險。

于是，在 Habr 博客平臺的后續(xù)更新內(nèi)容中，這個名為 Yarmak 的研究院又表示： 

其他研究人員和 HaBr 用戶指出，此類漏洞僅限于基于 Xiongmai（杭州雄邁科技有限公司，XMtech）軟件的設(shè)備，包括其他銷售基于此類軟件的供應(yīng)商的產(chǎn)品。目前，海思不能對 dvrHelper / macGuarder 二進制文件中的后門程序負(fù)責(zé)。

雷鋒網(wǎng)注意到，Yarmak 在博客下方的評論區(qū)中也承認(rèn)，后門程序是基于杭州雄邁科技有限公司的一款型號為 HI3518C_50H10L 的設(shè)備發(fā)現(xiàn)的。

這樣的話，情況已經(jīng)非常明朗了：

基于海思 SoC 的設(shè)備的確出了漏洞，但這個漏洞并不是海思的問題，而是設(shè)備供應(yīng)商的問題。

盡管如此，依然有外媒不依不饒。

比如說，外媒 Extremetech 認(rèn)為：盡管這個聲明讓華為或海思免于承擔(dān)后門本身的責(zé)任，但是華為應(yīng)當(dāng)對其所發(fā)布的代碼進行審核；而且，更嚴(yán)重的是，正如 Yarmak 所討論的那樣，這已不是第一次甚至第二次報告給華為海思方面。

只能說，何患無辭呀。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。