顯示廣告
隱藏 ✕
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2016-05-15 13:48:04
看板 Gossiping
作者 pooznn (我~~~是來被打臉滴!!!)
標題 [新聞] 中國知名ARM處理器業者被爆韌體藏後門程
時間 Sun May 15 11:45:20 2016


中國知名ARM處理器業者被爆韌體藏後門程式,可取得平板電腦管理員Root權限

文/黃彥棻 | 2016-05-13發表  iThome

中國知名生產平板電腦和Android裝置ARM處理器的IC設計業者全志科技(Allwinner),
日前被爆料,發現在處理器的韌體(Firmware )中,存在一個工程師遺留下來的後門程
式,使用者只需要遠端傳送簡單的文字指令「rootmydevice」,就可以獲得平板電腦的最
高管理者(Root)權限。目前受影響的產品型號是八核心的A83T和H8處理器,以及四核心
的H3處理器,這些處理器都用於中國平板電腦和OTT視訊機上盒產品中。


這個後門程式其實就是為了便利工程師可以遠端進行測試之用,可以提升使用者的權限,
即便業者強調,可能是因為趕工、因為換人測試,或者是因為沒有明文記載在文件手冊中
,所以「忘記」刪除。但對於資深的開發工程師而言,這些都是不應該發生的疏忽。因此
,對於使用全志科技製造的ARM處理器業者,就必須反問:「如果這麼重要的程式碼可以
忘記刪除,那整體的程式碼嚴謹度和品質控管,如何讓人放心呢?」


不過,這個漏洞最初的爆料者David Manouchehri ,後來把他在GitHub的爆料資料刪除,
也引發猜測。一般除非是爆料錯誤才會刪除,但這次爆料的確是事實的前提下,是否有承
受壓力而被迫刪除,不得而知。


而在ARM的論壇armbian中,也有人幫全志科技說話,企圖掩飾這次的後門程式不是後門程
式,而是「權限控管」不良而已。據了解,是因為全志科技是中國少數有開放源碼的業者
,為了讓中國的開放源碼可以持續下去,ARM論壇發言才會轉風向,轉而支持全志科技「
權限控管不良」的說法。


目前全志科技ARM處理器的作業系統版本是Linux 3.4-Sunxi,這是一個改過的Linux作業
系統,專門用來寫全志科技ARM處理器的韌體;至於其他像是平板電腦所使用的Android
作業系統,就會加在韌體之上。


根據中國賽迪顧問資訊,全志科技是中國知名IC設計業者,推出的ARM處理器主要用於各
種白牌平板電腦,以及各種OTT視訊機上盒、車聯網及穿戴式裝置,更是帶動中國白牌平
板電腦風行的重要業者。全志科技在2012年ARM處理器出貨量,曾經是中國市占最大的業
者(35.9%),2014年曾與臺灣聯發科出貨量不分軒輊;到2015年處理器銷售市占率則為
17%。


http://www.ithome.com.tw/news/105921
中國知名ARM處理器業者被爆韌體藏後門程式,可取得平板電腦管理員Root權限 | iThome
[圖]
曾經是中國最大ARM處理器業者全志科技被爆料,在韌體中發現藏有一個可以遠端取得平板電腦裝置管理員Root最高權限的後門程式   ...

 

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.168.34.42
※ 文章代碼(AID): #1ND_3LIg (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1463283925.A.4AA.html
tel5149: 沒事兒 沒是兒1F 05/15 11:46
dlam002: 不意外2F 05/15 11:46
jma306:  rootmydevice3F 05/15 11:46
mamaka: 中國人就愛走小門,沒事兒4F 05/15 11:46
pengxiaolun: 沒事兒沒事兒5F 05/15 11:46
edshen: 你訝異?6F 05/15 11:46
sa87a16: 沒事沒事 只是中央政策扶持而已 別擔心 個案7F 05/15 11:46
alamabarry: 中國人就是垃圾多阿 意外嗎8F 05/15 11:46
colorclover: 沒事兒沒事 中配標準程序9F 05/15 11:46
yjjia: 中國製造的東西還是少買為妙10F 05/15 11:46
a9106134: rootmydick11F 05/15 11:47
sa87a16: app 也少碰 科科  你知我知 政策配合好 資金沒煩惱12F 05/15 11:48
deep5566: 祖國的善液 幫你控管沒多加錢不好嗎?13F 05/15 11:48
Karajan8305: 少買14F 05/15 11:48
tim1234: 貧果表示:15F 05/15 11:48
jds2518: 中國人: 你別犯法被人監控有什麼關係 和諧才是最重要的16F 05/15 11:48
abc22826320: 沒事兒,一番美意,不要曲解17F 05/15 11:48
bbbruce: 沒事兒18F 05/15 11:49
XXXXHORSE: 你以為那些自拍 行房紀錄怎麼外流的?19F 05/15 11:50
sandiato: 中國特愛走後門20F 05/15 11:50
wison4451: 沒事兒沒事兒21F 05/15 11:50
H3Cita: 沒事兒 還行 還行22F 05/15 11:50
modernpkman: 全志 瑞芯微 小心啊23F 05/15 11:51
a2156700: 只是為了方便而已 沒事兒24F 05/15 11:51
darkbrigher: 意外嗎 美帝都禁止政府使用玻璃國伺服器了25F 05/15 11:52
aCCQ: 就算買的不是中國貨 你也不知道裡面的物件是否是中國制的26F 05/15 11:52
zipizza: 沒事兒 沒事兒 人太多了 需要管理27F 05/15 11:53
RedCarRet: rootmyegg28F 05/15 11:54
amovie:       後門也不是處了29F 05/15 11:55
tksq: 不意外 某水母還ㄧ直貼 真想送他去土城30F 05/15 11:55
Refauth: 什麼是"韌體"?31F 05/15 11:55
megaje: 沒事兒 沒事兒32F 05/15 11:56
slimu0001: 就是ROM啊,直接燒在機板上面的33F 05/15 11:57
kaesaus: 全志談開放源碼,就跟馬英九談清廉一樣34F 05/15 11:58
kerodo: 全志感覺好熟悉,它賣的那種規格,懂平板的不會去買35F 05/15 11:58
ienari: 還有人敢用?36F 05/15 11:59
yannicklatte: 不意外37F 05/15 12:02
nakayamayyt: 這不是後門 只是讓你變root 聽起來跟後門有九成像38F 05/15 12:04
supersissy: 中國人不意外39F 05/15 12:06
Crauser: 中國:不然怎麼監控人民?真天真(菸)40F 05/15 12:07
Whitening: 沒事兒沒事兒,幫你多開門還不多收費,佛心阿!41F 05/15 12:07
metcc80211: 這不是後門,是直接拿走管理員權限42F 05/15 12:07
Nurvay: 中國人就喜歡特權後門 方便 這是為了方便懂嗎? 死性不改43F 05/15 12:07
storyo11413: 中國人非常愛搞這種 哀..這國家文化一直有病44F 05/15 12:08
jialin6666: 中國製,不是都直接root出貨嗎?有啥意外45F 05/15 12:08
nightwind209: 沒事兒沒事兒46F 05/15 12:09
modulation: 沒事兒沒事兒47F 05/15 12:11
Kemuel: ㄏㄏ48F 05/15 12:13
uuxx66: 沒事沒事我們yoydiy大大可以繞過去49F 05/15 12:17
mitim: 黑心50F 05/15 12:21
furnaceh: 又沒差,手機是能藏三小祕密,喜歡就拿去吧51F 05/15 12:23
legendrl: 祖國有需要,還是有人能含血含淚含恨地交出去52F 05/15 12:24
adk147852: 沒事兒沒事兒53F 05/15 12:25
flowrew: 幹  慘了 我一個客戶SoC才剛用allwinner的,都洗版打件了54F 05/15 12:26
ECZEMA: 中國的東西少用 對世界其它國或許正常 只監控中文使用者55F 05/15 12:29
mayjan: 習狗肥出來講清楚56F 05/15 12:29
loloman: 真想知道rootmydevice密碼是什麼57F 05/15 12:29
ym010273: 沒事兒 沒事兒 只是查水表韌體而已58F 05/15 12:37
Godmyfriend: Bug太多59F 05/15 12:40
wings1003: 死不用中國研發科技產品60F 05/15 12:42
seafire: 中國感覺真的不意外…61F 05/15 12:42
ax113: 還好沒買小米平板62F 05/15 12:52
AxelGod: 沒事兒 沒事兒 不小心監控而已63F 05/15 12:53
lonelysin: 微吸一堆all淫平板...雖然賣很爛64F 05/15 12:59
GlinX: 超懷疑怎麼還會有人想買支那出品的3C商品65F 05/15 13:06
selvester: 機器人ott表示:66F 05/15 13:07
Phater: 推文居然還有人護航,可以remote root這不是後門請問什麼是67F 05/15 13:10
inmee: 中國哪家廠商沒這樣搞? 沒放後門程式才是新聞吧!68F 05/15 13:10
Phater: 後門? 這說法跟不給錢就不算嫖一樣69F 05/15 13:10
Kenqr: 被root70F 05/15 13:41

--
※ 看板: Gossiping 文章推薦值: 1 目前人氣: 0 累積人氣: 6592 
※ 本文也出現在看板: ott PttHot K_hot
作者 pooznn 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
( ̄︶ ̄)b qq12355q 說讚!
1樓 時間: 2016-05-15 14:16:06 (台灣)
+3 05-15 14:16 TW
支那国的硬體軟體都少用為妙
2樓 時間: 2016-05-15 15:14:43 (台灣)
  05-15 15:14 TW
寫這篇報導的一定不是RD.
3樓 時間: 2016-05-15 15:20:53 (日本)
  05-15 15:20 JP
愛用中國貨的風險就是資料可能會外洩...
4樓 時間: 2016-05-15 15:48:08 (台灣)
  05-15 15:48 TW
沒犯法幹嘛怕被開後門?心裡有鬼
5樓 時間: 2016-05-15 18:07:08 (台灣)
  05-15 18:07 TW
好在我從不買中國3C產品
6樓 時間: 2016-05-15 18:29:21 (台灣)
  05-15 18:29 TW
不留後門中國怎麼能偷企業技術 軍事機密 監控個人..... 後門必需
7樓 時間: 2016-05-15 20:04:43 (台灣)
  05-15 20:04 TW
共產不都這樣嗎?不是偷就是搶的...到手後說是自己的。
8樓 時間: 2016-05-15 20:12:10 (台灣)
  05-15 20:12 TW
IC姓黨
9樓 時間: 2016-05-15 21:06:42 (台灣)
  05-15 21:06 TW
不知道有哪家 ISP 還曾經想用滑偽的網路設備, 真的是七月半鴨子
10樓 時間: 2016-05-15 23:04:58 (台灣)
  05-15 23:04 TW
···
台灣人不就是力挺國民黨嗎???
11樓 時間: 2019-02-01 11:55:51 (台灣)
  02-01 11:55 TW
白癡才用支那的軟硬體產品
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇