[新聞] 中國知名ARM處理器業者被爆韌體藏後門程

作者: pooznn (我~~~是來被打臉滴!!!)   2016-05-15 11:45:20
中國知名ARM處理器業者被爆韌體藏後門程式,可取得平板電腦管理員Root權限
文/黃彥棻 | 2016-05-13發表 iThome
中國知名生產平板電腦和Android裝置ARM處理器的IC設計業者全志科技(Allwinner),
日前被爆料,發現在處理器的韌體(Firmware )中,存在一個工程師遺留下來的後門程
式,使用者只需要遠端傳送簡單的文字指令「rootmydevice」,就可以獲得平板電腦的最
高管理者(Root)權限。目前受影響的產品型號是八核心的A83T和H8處理器,以及四核心
的H3處理器,這些處理器都用於中國平板電腦和OTT視訊機上盒產品中。
這個後門程式其實就是為了便利工程師可以遠端進行測試之用,可以提升使用者的權限,
即便業者強調,可能是因為趕工、因為換人測試,或者是因為沒有明文記載在文件手冊中
,所以「忘記」刪除。但對於資深的開發工程師而言,這些都是不應該發生的疏忽。因此
,對於使用全志科技製造的ARM處理器業者,就必須反問:「如果這麼重要的程式碼可以
忘記刪除,那整體的程式碼嚴謹度和品質控管,如何讓人放心呢?」
不過,這個漏洞最初的爆料者David Manouchehri ,後來把他在GitHub的爆料資料刪除,
也引發猜測。一般除非是爆料錯誤才會刪除,但這次爆料的確是事實的前提下,是否有承
受壓力而被迫刪除,不得而知。
而在ARM的論壇armbian中,也有人幫全志科技說話,企圖掩飾這次的後門程式不是後門程
式,而是「權限控管」不良而已。據了解,是因為全志科技是中國少數有開放源碼的業者
,為了讓中國的開放源碼可以持續下去,ARM論壇發言才會轉風向,轉而支持全志科技「
權限控管不良」的說法。
目前全志科技ARM處理器的作業系統版本是Linux 3.4-Sunxi,這是一個改過的Linux作業
系統,專門用來寫全志科技ARM處理器的韌體;至於其他像是平板電腦所使用的Android
作業系統,就會加在韌體之上。
根據中國賽迪顧問資訊,全志科技是中國知名IC設計業者,推出的ARM處理器主要用於各
種白牌平板電腦,以及各種OTT視訊機上盒、車聯網及穿戴式裝置,更是帶動中國白牌平
板電腦風行的重要業者。全志科技在2012年ARM處理器出貨量,曾經是中國市占最大的業
者(35.9%),2014年曾與臺灣聯發科出貨量不分軒輊;到2015年處理器銷售市占率則為
17%。
http://www.ithome.com.tw/news/105921
作者: tel5149 (唉....)   2016-05-15 11:46:00
沒事兒 沒是兒
作者: dlam002 (常逛飄版的阿飄)   2016-05-15 11:46:00
不意外
作者: jma306 (甲賀稻修伯)   2016-05-15 11:46:00
rootmydevice
作者: mamaka (重新出發)   2016-05-15 11:46:00
中國人就愛走小門,沒事兒
作者: pengxiaolun (彭彭)   2016-05-15 11:46:00
沒事兒沒事兒
作者: edshen (尊重 友善 包容 清新 )   2016-05-15 11:46:00
你訝異?
作者: sa87a16   2016-05-15 11:46:00
沒事沒事 只是中央政策扶持而已 別擔心 個案
作者: alamabarry (.............)   2016-05-15 11:46:00
中國人就是垃圾多阿 意外嗎
作者: colorclover   2016-05-15 11:46:00
沒事兒沒事 中配標準程序
作者: yjjia (天橋底下說書人)   2016-05-15 11:46:00
中國製造的東西還是少買為妙
作者: a9106134 (Lesto)   2016-05-15 11:47:00
rootmydick
作者: sa87a16   2016-05-15 11:48:00
app 也少碰 科科 你知我知 政策配合好 資金沒煩惱
作者: deep5566 (鶯歌包皮™)   2016-05-15 11:48:00
祖國的善液 幫你控管沒多加錢不好嗎?
作者: Karajan8305 (繁星點點)   2016-05-15 11:48:00
少買
作者: tim1234 (山姆羅)   2016-05-15 11:48:00
貧果表示:
作者: jds2518 (只想做個閒人= =)   2016-05-15 11:48:00
中國人: 你別犯法被人監控有什麼關係 和諧才是最重要的
作者: abc22826320 (猴猴)   2016-05-15 11:48:00
沒事兒,一番美意,不要曲解
作者: bbbruce (布魯斯)   2016-05-15 11:49:00
沒事兒
作者: XXXXHORSE   2016-05-15 11:50:00
你以為那些自拍 行房紀錄怎麼外流的?
作者: sandiato (當局者迷迷迷)   2016-05-15 11:50:00
中國特愛走後門
作者: wison4451 (槍王黑澤)   2016-05-15 11:50:00
沒事兒沒事兒
作者: H3Cita (湊字數)   2016-05-15 11:50:00
沒事兒 還行 還行
作者: modernpkman (不宅)   2016-05-15 11:51:00
全志 瑞芯微 小心啊
作者: a2156700 (斯坦福橋)   2016-05-15 11:51:00
只是為了方便而已 沒事兒
作者: darkbrigher (暗行者)   2016-05-15 11:52:00
意外嗎 美帝都禁止政府使用玻璃國伺服器了
作者: aCCQ (阿賢)   2016-05-15 11:52:00
就算買的不是中國貨 你也不知道裡面的物件是否是中國制的
作者: zipizza ( )   2016-05-15 11:53:00
沒事兒 沒事兒 人太多了 需要管理
作者: RedCarRet (陰騭小人)   2016-05-15 11:54:00
rootmyegg
作者: amovie ( )   2016-05-15 11:55:00
後門也不是處了
作者: tksq (3ya)   2016-05-15 11:55:00
不意外 某水母還ㄧ直貼 真想送他去土城
作者: Refauth (山丘上的長號手)   2016-05-15 11:55:00
什麼是"韌體"?

Links booklink

Contact Us: admin [ a t ] ucptt.com