您的位置: 首页  >  文章  >  IT界的后门事件

IT界的后门事件

分类: 文章 2024-06-19 10:55:16

IT界的后门事件

“嘴边天花乱坠,腹中矛戟森然。”朱自清的这一句话,用在国内互联网界倒也不遑多让。嘴上在各大安全会议中高谈阔论价值观、共建安全互联网络新生态,背地里却在竞争对手的大坝上凿坑。长此以往,所谓的共建安全生态无非是黄粱一梦。 (fanwei)

软件后门 (backdoor) 指绕过软件的安全性控制,而从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。下面就来细数一下各类后门事件。

Intel CPU ME管理系统中的MINIX系统

Intel现代处理器都支持ME管理引擎,用来管理协调内部的诸多模块,尤其是传统芯片组整合进入之后,处理器已经差不多成了SoC单芯片系统,更需要一个“总管”,MINIX就是干这个的。
MINIX是一个类似Unix的超迷你系统,开发者是行业大牛Andrew Tanenbaum(ast),本来是个教育工具,用来展示操作系统编程,Intel将它拿过来整合在了每一块处理器中。
MINIX在处理器内部拥有自己的CPU内核和专属固件,完全独立于其他部分,而且完全隐形,操作系统和用户均不可见,运行权限更是达到了Ring -3。
要知道,我们日常的程序权限级别都是Ring 3,操作系统内核运行在Ring 0,这也是一般用户能够接触到的最低权限,MINIX则竟然深入到了Ring -3。
IT界的后门事件
事实上,即便是在休眠乃至关机状态下,MINIX都在不间断运行,因为ME管理引擎要在处理器启动的同时就开始执行管理工作,还要负责芯片级的安全功能。
这就使得MINIX拥有至高无上的地位,而且不管你的电脑里装的是Windows、Linux、macOS,都有一个它在默默运行,使之成为名副其实的全球第一系统。
这种设计当然也存在巨大的安全隐患。Google研究后发现,MINIX Ring -3权限级别拥有完整的网络堆栈、文件系统、USB/网络等大量驱动程序、Web服务器。(摘自新闻)

而在最近,据外媒报道,白帽黑客们果然有了新发现,成功获取到完整的JTAG端口并干预控制,这一切紧急靠一个USB设备就实现。
JTAG( Joint Test Action Group)是ME管理引擎一个特性之一,这也就意味着ME后门大开。
IT界的后门事件

贴上知乎网的专题评论:
如何看待英特尔管理引擎(Intel ME)被爆出运行在 Minix3 操作系统?

百度SDK

摘要:一个由百度提供的软件开发包被曝其中内含后门,攻击者可以轻易利用这一后门侵入用户的Android移动设备。而更为严重的是,这一软件开发包已经被集成在了数千款的Android应用之中。

IT界的后门事件

首先 Moplus SDK 会在安装有受影响应用的设备上开启一个 HTTP 服务器,服务器并不存在认证措施,它可以接受来自互联网的任意请求。

接下来就是,攻击者通过这一隐藏的 HTTP 服务器发送请求,攻击者可以执行安装有这一 SDK 的预设指令,其中包括:提取地理位置,查看敏感信息,添加联系人,上传文件,拨打电话甚至安装应用。

Trend Micro 提及,在已经 root 的设备上,SDK 允许应用静默安装。

实际上,专家认为这次安全问题的严重程度已经超出了 Stagefright 漏洞,Stagefright 漏洞需要攻击者向用户发送短信,当打开链接后才能进行攻击。

可以联想到更可怕的一种情况是,黑客可以通过扫描整个移动网络打开特定的 Moplus HTTP 地址的方式实施攻击。

知乎网的相关内容:
如何评价百度在SDK中嵌入后门?

酷派后门事件

宇龙酷派是中国第三大以及全球第六大智能手机生产厂商。最近我们研究发现许多高端酷派手机在预装软件均包含一个后门程序,我们将此后门称为:CoolReaper
在看到许多酷派用户反馈手机上的可疑现象后,我们下载了多个中国区发行的官方固件,其中大多数都包含了coolreaper这款后门应用。
CoolReaper表现出以下行为:

  • 静默下载、安装或者**任意应用且不通知用户
  • 清除用户数据、卸载已安装应用或者禁用系统应用
  • 伪造OTA信息提示用户升级系统其实是安装一些推送的应用
  • 发送短信或者彩信以及伪造手机中的短信或者彩信
  • 拨打电话
  • 上传用户设备信息、位置信息、应用使用情况、通话记录、短信记录到酷派服务器。

手机生产厂商一般会在设备中安装一些定制软件,但是coolreaper貌似不那么简单。一些移动运营商也会预装一些软件用于收集用户使用习惯和数据。Coolreaper比这些做的更多非常类似一个后门。
中国的酷派用户在网上反馈后门应用静默安装软件已经推送广告的行为。不过这些反馈信息均被酷派忽略或者删除。
酷派同时还在他们的许多固件中还更改了底层安卓系统。这些变动主要目的是隐藏后门coolreaper组件不被用户发现以及不被其他应用分析。这使用杀毒软件无法轻易检测到此后门应用。
9月,一个名乌云白帽子发现coolreaper后台系统的漏洞。后台呈现出coolreaper的各种操作指令。现阶段酷派手机后门只能影响到中国用户,但是酷派的国际化战略意味着这款后门应用将有可能影响全球Android用户。
(源自乌云网)

贴上知乎相关主题讨论:
什么是酷派后门事件,如何评价这一现象?这是一种行业默契么?

最后

细心的朋友都发现了上文中出现的神秘网站,乌云网,一个漏洞报告平台。
乌云网的前世今生也是一个关于后门事件的一个可以探讨的话题。

IT界的后门事件
IT界的后门事件

对乌云网感兴趣的同学可以点开浏览,相信你会看到有趣的内容。
乌云 (WooYun) 是怎样的一个网站?
乌云网停摆

相关推荐