[新聞] 抓到了!華為旗下海思晶片有後門 恐加深

作者: amego2017   2020-02-06 18:03:45
https://newtalk.tw/news/view/2020-02-06/363068
抓到了!華為旗下海思晶片有後門 恐加深各國對中國產品疑慮
新頭殼newtalk | 郜敏 綜合報導
發布 2020.02.06 | 16:52
中國企業華為的5G設備正因安全問題被世界各國放大檢視,如今又爆出華為旗下的海思(
HiSilicon)晶片被發現有後門,可讓有心人藉此存取使用該晶片的網路攝影機或閉路電
視所拍到的影像,這項消息恐將加深各國對華為的疑慮。
海思半導體為華為集團旗下的晶片設計公司,產品被應用在數百萬的連網裝置上,包括監
視器、數位錄影機(DVR)及網路硬碟錄影機(NVR)等。
綜合《The Register》、《Extreme Tech》等多個國外科技網站報導,一名俄羅斯安全研
究人員Vladislav Yarmak發現,海思SoC晶片系統韌體有個遠距除錯和管理工具,可存取
同個網路的攝影機和閉路電視等產品的內容。只要有人連接特定端口TCP 9530,並開啟
Telnet守護程序,就可以憑簡單的root帳號和固定密碼登入(而且所有裝置上的密碼都一
樣),進而擁有最高權限,可隨意存取內容或控制該裝置。
Vladislav Yarmak認為,這項漏洞是刻意留存的後門,至少存在於使用 hi3518 SoC 晶片
的大量網路攝影機和閉路電視產品,估計受影響的連網裝置有數十萬到數百萬不等,用戶
恐怕無法期待海思修補這項漏洞,只能限制裝置本身的網路存取能力,或直接改用其它未
含漏洞的產品,才能確保內部資料的安全。
自美中貿易戰以來,美國一直向歐洲各國喊話,強調採用中國企業華為的產品將對國安造
成風險。雖然有些國家始終秉持自己的立場,未對美國的說法全盤買單,但這項消息一出
,無疑重挫華為的信用,且可能會影響更多尚未表態是否採用華為產品的國家的最後決定
作者: chris80634 (超爽的!!! 撿到100塊)   2020-02-06 18:06:00
中國到底還有啥正面操作可以看的
作者: motan (警察先生就是這個人)   2020-02-06 18:08:00
怎被老大哥捅了
作者: fox141 (Lunch)   2020-02-06 18:20:00
如果谷歌跟蘋果漏洞被發現 大家就沒聲音了
作者: rodion (r-kan/reminder)   2020-02-06 18:21:00
樓上還是沒弄清楚問題所在: 華為背後是專制CCP那個最懂得如何讓大家聲音不見的CCP
作者: popmentos (汽水 + 曼陀珠)   2020-02-06 18:30:00
用固定密碼登入,這是後門不是漏洞喔,這兩回事
作者: pipi1983 (放手  N)   2020-02-06 18:30:00
不知道這種後門會不會是ESD、EMI 不會過、功耗太高的 key point
作者: cunankimo (F5)   2020-02-06 18:59:00
分享器 小烏龜這些 管理介面不是也是固定密碼???
作者: q30339 (klin)   2020-02-06 19:10:00
不管是否為專制,都是一樣不能監控啊
作者: popmentos (汽水 + 曼陀珠)   2020-02-06 19:12:00
https://www.cnblogs.com/mmseh/p/6537924.html可以參考這一篇,有內建指令 OpenTelnet:Forever
作者: higashi1107 (JAY)   2020-02-06 19:14:00
慘,供應鏈全倒
作者: bloody089 (家是放"心"的地方~)   2020-02-06 19:17:00
這是什麼後門!很多都是固定port帳號密碼登錄!水準...
作者: popmentos (汽水 + 曼陀珠)   2020-02-06 19:19:00
作者: bloody089 (家是放"心"的地方~)   2020-02-06 19:20:00
但是是有安全疑慮沒錯,後門不會這麼簡單的!
作者: GodsRevival (行李箱)   2020-02-06 19:23:00
漏洞與後門是有區別的
作者: newper (別當Google不存在)   2020-02-06 19:43:00
這篇應該轉去八卦版
作者: laputaca (離歌笑)   2020-02-06 19:51:00
作者: jason0513 (橘子香水)   2020-02-06 20:23:00
之前啾啾鞋有拍一部美國監控人民的 叫 "永久檔案"4F說法有問題
作者: zxp9505007 (阿C)   2020-02-06 20:28:00
這叫後面嗎...很多監視器不都這樣設計嗎?
作者: iksion (iksion)   2020-02-06 20:32:00
一堆五毛崩潰 笑死人了
作者: cobrasgo (人魚線變成鮪魚線,超帥)   2020-02-06 20:43:00
這再常見也不過的東西,網通廠的廠品除非客戶要求關掉不然都嘛有
作者: MEETING0115 (Posey)   2020-02-06 20:47:00
被走後門...
作者: G8AJ (嗯哼)   2020-02-06 20:49:00
新頭殼喔 蟑螂們快來
作者: cobrasgo (人魚線變成鮪魚線,超帥)   2020-02-06 20:58:00
一個常見的LAN端debuf工具被智缺媒體寫成漏洞,無知沒關係,還用大聲公向世界宣布就可笑了debug
作者: b777787 (冬瓜)   2020-02-06 21:02:00
台北好朋友 韓粉:華為很強
作者: billmin (hahaha)   2020-02-06 21:20:00
客戶不會自己改密碼喔...
作者: celhw (貪玩的小孩)   2020-02-06 21:31:00
有後門可躲綠蟑螂
作者: mangoldfish (大眼笨金魚)   2020-02-06 22:20:00
這叫後門?
作者: milescwlin (邁爾思.邪月)   2020-02-06 22:22:00
這個國家怎麼一天到晚搞這種東西?
作者: Murasaki0110 (麥當勞歡樂送)   2020-02-06 22:27:00
可悲文組
作者: fox141 (Lunch)   2020-02-06 22:38:00
低能蠢材 開PORT跟CHIP哪有關係?系統廠留的後面。你用高通博通軟體用自己留後面也可以啊
作者: zqa0321 (高興做每件事)   2020-02-06 22:59:00
很會帶風向
作者: ljmk1246 (ljmk1246)   2020-02-06 23:06:00
咦原來是八卦版 我還以為是科技版
作者: esl0 (NTU_EE)   2020-02-06 23:14:00
感覺跟上次 supermicro一樣
作者: okia3310 (3310)   2020-02-07 00:43:00
帶風向 雖然不爽對岸也不是這樣
作者: mmnnoo (PP)   2020-02-07 00:44:00
一堆人沒買過固定密碼的wireless ap和cam.... 唉…聽說有個網站上有一堆沒改IP cam密碼的家庭即時影像,讓大家可以live看人家的隱私…
作者: femlro (母豬教謀神異端審問官1.5)   2020-02-07 00:49:00
文組廢文發科技版?
作者: unya (蟑螂小貓妹)   2020-02-07 00:58:00
文組?
作者: yocmjc   2020-02-07 01:20:00
一堆人秀破英文單字自以為高人一等
作者: suifong (小火柴)   2020-02-07 01:22:00
安全研究人員 Vladislav Yarmak是文組的?
作者: hizuki (ayaka)   2020-02-07 04:52:00
而且你知道那個debug功能抓圖多慢?
作者: cancelpc (阿吉)   2020-02-07 07:25:00
就好像套裝機出場預設登入系統不用密碼,或固定密碼,就是 AMD , 微軟的後門一樣可笑Intel CPU 就是 Intel 有後門一樣可笑高通等一堆公版韌體,本來就有固定密碼。用晶片的廠商不改,或停用,就算高通留後門一樣可笑之前彭博當打手,還不是發了一堆號稱專家找到漏洞的新聞最後勒?只有貿易戰打,實際還沒確認去找 Intel ME 這個關鍵字,依照此標準,Intel 的漏洞可多了,且一堆是廠商無法堵上的
作者: tipsofwarren (tipsofwarren)   2020-02-07 08:51:00
1450標準起手式:五毛崩潰
作者: justin1943 (prototype)   2020-02-07 09:11:00
可悲
作者: cicacica (cica)   2020-02-07 09:34:00
小時不讀書長大....
作者: cancelpc (阿吉)   2020-02-07 10:01:00
科技版,還一堆人沒專業,以政治角度...又不是炒股版
作者: as885212   2020-02-07 10:56:00
漏洞漏的這麼危險 使用者還無從得知 到底算不算後門呢核心問題是 固定帳密 代表使用者根本不知道也無法修改
作者: Namukab (不要問)   2020-02-07 11:31:00
固定埠號 預設帳密 這是基本的監視系統啊 除非使用者有去改
作者: mmnnoo (PP)   2020-02-07 12:21:00
https://buzzorange.com/techorange/2014/11/17/a-creepy-website-is-streaming-from-73-000-private-secur-1655653510/
作者: catwei (going nowhere)   2020-02-07 12:45:00
telnet root帳密使用者改不了好嗎 這不是後門 但是是安全性漏洞沒有錯 這只能說研發做得不嚴謹 扯到中共留後門就可笑了 科技版的素質別搞得跟八卦版一樣
作者: mmnnoo (PP)   2020-02-07 12:54:00
https://reurl.cc/VarRk5這個新聞顯示出這篇文章的弱智…
作者: rexn (中間)   2020-02-07 15:07:00
五毛崩潰
作者: csfgsj (切割對半)   2020-02-07 21:16:00
無知
作者: Neistpoint (Neistpoint)   2020-02-07 23:31:00
密碼admin
作者: hakugetsu (hakugetsu)   2020-02-08 03:02:00
icatch的DVR也這樣啊 密碼一樣還是外網可以連進去的 上個月一大堆icatch的DVR被拿去利用ddos別人 那幾天連中華的骨幹都撐不住
作者: cob (Cobra)   2020-02-08 08:46:00
文組別亂
作者: pttano (pttano)   2020-02-08 20:56:00
笑死,三樓連後門跟漏洞都搞不清楚,是不是文組阿

Links booklink

Contact Us: admin [ a t ] ucptt.com