Вход |  Регистрация
 
 
Время электроники Воскресенье, 23 февраля
 
 


Это интересно!

Ранее

«Ростех» и российская компания Mobile Inform Group начинают собирать защищённые мобильные устройства на заводе в Калуге

Об этом рассказало издание «Коммерсантъ» со ссылкой на представителей компаний.

В России создали магнитную пушку для удалённой беспроводной зарядки гаджетов

О созданном в России зарядном устройстве с радиусом действия в 2 метра рассказало издание «Известия».

Из-за китайского вируса в России намечается дефицит или взлет цен на гаджеты

Xiaomi, Apple и ряд других производителей смартфонов перенесли сроки поставки гаджетов в Россию на несколько недель вперед из-за вспышки коронавируса в Китае. К дефициту смартфонов это не приведет, но возможен 15-процентный рост цен на них.

Реклама

По вопросам размещения рекламы обращайтесь в отдел рекламы

Реклама наших партнеров

 

5 февраля 2020

Huawei встроила в свои процессоры бэкдоры и не собирается их закрывать, утверждает российский эксперт

Процессоры HiSilicon (бренд Huawei) содержится набор уязвимостей, позволяющих получить права суперпользователя на устройствах с ними. Впервые о такой проблеме стало известно семь лет назад, но компания пока не выпустила необходимые патчи.

В

процессорах HiSilicon, используемых в цифровых рекордерах, сетевых камерах наблюдения, веб-камерах и т. д., обнаружен бэкдор. Выявил его россиянин Владислав Ярмак, работающий, по его заявлению, в Mail.ru Group системным архитектором. По его словам, данная брешь напрямую связана с четырьмя уязвимостями в чипах этого бренда, раскрытыми в 2013 и 2017 гг.

Как отметил Владислав Ярмак, он не стал сообщать компании о своей находке, так как посчитал ее неспособной закрыть уязвимость. В своем блоге на ресурсе Habr он заявил, что HiSilicon «на протяжении всех этих лет не могла или не желала выпустить необходимые исправления для одного и того же бэкдора, который, к тому же, был реализован намеренно».

HiSilicon – это дочерняя компания китайского техногиганта Huawei, она основана в 2004 г. и занимается разработкой процессоров, в том числе Kirin для мобильных устройств (смартфоны, планшеты) и Kunpeng для серверов, которые Huawei производит в России. Также в ее ассортименте есть модемы связи Balong и чипы для различной электроники. У компании нет собственных заводов – производством ее продукции занимается тайваньская TSMC.

Задействовать «черный ход» в процессорах HiSilicon можно посредством отправки серии определенных команд на TCP-порт 9530 в сетевых устройствах с чипами этого производителя. Данные команды позволяют активировать на устройстве Telnet-сервис и подключиться к профилю суперпользователя с использованием логина «root» и одного из шести паролей – 123456, jvbzd, hi3518, k1v123, xc3511 или xmhdipc. После этого пользователю будет предоставлен полный контроль над устройством.

Все шесть пар логин/пароль встроены непосредственно в прошивку процессора и не могут быть удалены или изменены пользователем. TCP-порт 9527 принимает те же пароли.

На момент публикации материала точное количество устройств с «дырявыми» процессорами Huawei известно не было. На сайте GitHub пользователем Tothi опубликован список брендов, чья техника содержит ранее выявленные уязвимости, их число измеряется десятками – их больше 80.

Как отметил Владислав Ярмак, скомпрометированных устройств по всему миру может быть очень много. Он не назвал точное число, но отметил, что их может оказаться от нескольких сотен тысяч до нескольких миллионов.

Ярмак опубликовал на GitHub PoC-код для проверки устройств на наличие рассмотренных уязвимостей. Всем, кто убедится в наличии проблемы в своей технике, эксперт советует как можно быстрее избавиться от нее и перейти к использованию более надежных аналогов.

В случае, если заменить устройства по тем или иным причинам не представляется возможным, Ярмак рекомендует закрыть сетевой доступ к ним для всех, кроме доверенных пользователей. В первую очередь, советует он, следует закрыть порты 23/tcp, 9530/tcp и 9527/tcp.

Комментарии

0 / 0
0 / 0

Прокомментировать







 

Горячие темы

 
 




Rambler's Top100
Руководителям  |  Разработчикам  |  Производителям  |  Снабженцам
© 2007 - 2020 Издательский дом Электроника
Использование любых бесплатных материалов разрешено, при условии наличия ссылки на сайт «Время электроники».
Создание сайтаFractalla Design | Сделано на CMS DJEM ®
Контакты