Huawei Дочірнє Розподіляє 0-Day Backdoor в відеореєстратори, мережеві відеореєстратори, IoT Камери
Одне питання, який був все більше занепокоєння в США компаній і клієнтів є побоювання, що китайські компанії будуть створювати зашитим проломи в різних мереж і продуктів 5G вони продають на західних ринках. Такі бекдори могли б бути використані для корпоративного шпигунства або державного нагляду.
До сих пір докази такого роду навмисного backdooring є неоднозначними. Звіт вбивчого по Bloomberg в минулому році - один, що я спочатку вважав, - розчинився в сплутати питання більш точно, чи була компанія повідомила про ситуацію, а також розбіжності з приводу, як чи бекдор описана навіть технологічно можливо. Звіт Великобританії за практиці безпеки компанії Huawei в минулому рік знайшов досить докази неохайного кодування і поганого управління версіями, але не з'явився ніяких ознак корпоративних або державних бекдор, спрямованих на дозвіл скоординованої кампанії спостереження.
Тепер, в новій доповіді Владислава Ярмак пояснює, як Huawei дочірньої компанії Hisilicon інтегрувала мікропрограмних лазівку в SoCs він продає різні компанії, які будують цифрові відеокамери (DVR), підключена до мережі відеореєстраторів (NVRS), а також інші різним пристрої. Бекдор вбудований в SoC прошивку, що означає, що вона розгортається в будь-якому місці СОВ є. За словами Ярмака, цей бекдор був розгорнутий принаймні трьох різних версій з 2013 року.
Ось Ярмак:
Найбільш ранні відомі версії його мали телнет доступ дозволений статичний кореневої пароль, який може бути витягнутий з образу вбудованого ПЗ з (відносно) мало обчислення зусиль ... Пізніші версії прошивки були телнет доступу і порт налагодження (9527 / TCP) за замовчуванням відключена. Замість цього вони повинні були відкрити порт 9530 / TCP, який був використаний, щоб прийняти спеціальну команду для запуску ТЕЛНЕТ і включити оболонки доступу із статичним паролем, який є однаковим для всіх пристроїв ...
Найостанніші версії прошивок мають відкритий порт 9530 / TCP прослуховування для спеціальних команд, але вимагають аутентифікації криптографічного виклик-відповідь, щоб вони були здійснені.
Іншими словами, реалізація бекдор стала більш складною протягом довгого часу. Існує відомий набір логінів і паролів, що апаратні засоби будуть приймати для перевірки автентичності. Ця помилка зачіпає широкий ряд марок і моделей устаткування. До сих пір, все це звучить дуже погано.
Чи є це цілеспрямоване напад Замах?
Є підстави вважати, це питання є більш показовим є поганий практика безпеки в Huawei, ніж навмисна спроба бекдора обладнання. З одного боку, атака працює тільки по локальній мережі. В оновленні в кінці свого поста, Ярмак пише:
Інші дослідники і користувачі Хабре вказали такі уразливості обмежуються пристрої, заснованих на Xiongmai (Hangzhou Xiongmai Technology Co, XMtech) програмне забезпечення, в тому числі продуктів інших виробників, які постачаються продукти на основі такого програмного забезпечення. На даний момент Hisilicon не може нести відповідальність за бекдор в dvrHelper / macGuarder двійковим.
І це підриває ідею, що це щось Huawei або Hisilicon спеціально і особливо намагається зробити. Це не дозволяє їх з гачка - виробники повинні проводити перевірки коди вони вантажать, і Huawei спеціально справи зі сприйняттям, що він працює дуже близько з китайським урядом вже.
Це дуже важко відрізнити погану практику безпеки і цілеспрямованих зусиль зі створення лазівки. Серйозніші, так як Ярмак обговорює, що це не перший або навіть другий раз це питання було повідомлено Huawei. Вся причина, чому він випустив звіт нульового дня є те, що Huawei не раніше реагували на рішення даної проблеми.
З точки зору клієнта, представляється доцільним дати HUAWEI обладнання A обходили, чи є компанія шпигує для китайського уряду чи ні.
Читати далі
Сторонні ремонтні магазини можуть бути заблоковані для обслуговування камери iPhone 12
Згідно з нещодавнім звітом iFixit, ворожість Apple до права ремонту досягла нових вершин з iPhone 12 та iPhone 12 Pro.
Новий смартфон Sony Xperia Pro - це аксесуар для камери в розмірі 2500 доларів
Цей пристрій розрахований на професійних фотографів та любителів, які хочуть отримати потужний аксесуар для своїх камер. Це також перший смартфон Sony 5G в США, але ціна позитивно падає на рівні 2500 доларів.
Google використовуватиме камеру Pixel для вимірювання пульсу та дихання
Як і багато інших проектів машинного навчання Google, цей перший виходить на перший план для телефонів Pixel, і більше телефонів, ймовірно, отримають це рішення.
Новий телефон Xiaomi має додатковий дисплей на камері
Китайський мобільний гігант Xiaomi повинен анонсувати новий пристрій під назвою Mi 11 Ultra, і пристрій просочився рано. У нього є гігантський модуль камери, який підтримує масштабування до 120x, і є навіть додатковий екран. Так, екран у горбі камери. Бо чому, мабуть, ні?