在裝置制造商富士康的應用引導程式中發現了可建立android後門pork explosion的漏洞,雖然受影響裝置範圍不大,但該漏洞可能帶來嚴重風險。在這種情況下,該應用引導程式是如何建立後門程式的?
研究人員jon sawyer在infocus和nextbit智能手機中發現一種漏洞,該漏洞是富士康在裝置建構群組裝過程中引入的。
該後門程式是在富士康設計和制造過程中建立的,它似乎是調試環境的一部分,用于在開發階段對裝置進行故障排除。在調試環境中這是必要的做法,但這應該在批量生産之前予以禁用,以保護裝置的安全性。
pork explosion漏洞允許攻擊者通過usb連接配接以在啟動時通過應用引導程式獲得無限制的root shell通路。該引導程式會執行硬體初始化的基本任務,并加載linux核心。在此期間,核心保護不可用。
如果可對易受攻擊的裝置進行實體通路,這個漏洞的風險很高,但由于這些裝置并沒有被三星或其他主要制造商那樣廣泛地部署,風險不算太高。
nextbit通過移除調試環境中使用的檔案系統修複了此漏洞。
那些外包裝置或元件制造的企業可能會希望檢查其供應鍊以确定他們是否面臨與pork explosion類似的漏洞。如果是這樣,這些企業可能會試圖加強供應鍊安全性以防止通過這種方式引入漏洞。
企業還應該確定其供應鍊的第三方對其向裝置中引入的任何漏洞負責,因為企業可能無法自己修複這些漏洞。
本文轉自d1net(轉載)
![Shell程式設計——sort排序、uniq忽略重複、tr替換壓縮删除、cut指定删除字段、正規表達式元字元sort 指令uniq 指令tr 指令cut 指令正規表達式[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)