华为又被外国人盯上了，这次是海思芯片。 海思的 SoC 有后门？ 2 月 5 日，俄罗斯安全研究员 Vladislav Yarmak 在技术博客平台 Habr 发表了一篇有关他在华为海思芯片中发现的后门程序的详细信息。他表示，该后门程序已被全球数百万智能设备使用，例如，安全摄像机、DVR（Digital Video Recorder，数字视频录像机）、NVR（Network Video Recorder，网络视频录像机）等。 目前，关于这一后门的固件修复程序并不可用，因为 Yarmak 并未向海思报告该问题——他并不认为海思方面会正确解决此问题。 在早些时候发布给 Habr 的详细技术摘要中，Yarmak 表示，后门程序实际上是四个旧安全漏洞/后门的混搭，这些漏洞此前在 2013 年 3 月、2017 年 3 月、2017 年 7 月和 2017 年 9 月发现并已经被公开 。 Yarmak 还宣称：

显然，多年来，海思不愿或无法为同一个后门提供足够的安全修复程序，而后门是有意实施的。

所谓的后门是如何工作的？ 根据 Yarmak 的说法，可以通过在 tcp 端口 9530 上向使用海思芯片的设备（这些设备运行 Linux，固件易受攻击的设备运行了 macGuarder 或 dvrHelper 进程，并在 TCP 端口 9530 上接受连接）发送一系列命令来利用后门。 这些命令将在易受攻击的设备上启用 Telnet 服务。 雷锋网了解到，Telnet 是 TCP/IP 协议族中的一员，是 Internet 远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用 Telnet 程序，用它连接到服务器。终端使用者可以在 Telnet 程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。 Yarmak 说，一旦 Telnet 服务启动并运行，攻击者就可以使用下面列出的六个 Telnet 登录凭据之一登录，并获得对 Root 帐户的访问权限，该 Root 帐户授予他们对易受攻击的设备的完全控制权。 图片：弗拉迪斯拉夫·亚玛克（Vladislav Yarmak） Yarmak 还宣称，这些 Telnet 登录方式在过去几年中已在海思芯片固件中进行了硬编码，尽管有公开报道，但是海思还是选择保留原样并禁用了 Telnet 守护程序。 所谓的 “概念验证代码” 由于 Yarmak 并不想将漏洞报告给海思，因此固件补丁不可用。 而是，安全研究人员创建了概念验证（Proof of Concept, PoC）代码 ，可用于测试是否有 “智能” 设备正在海思 SoC 之上运行，以及该 SoC 是否容易受到可以启用其 Telnet 服务的攻击。 Yarmak 认为，如果发现某个设备容易受到攻击，设备所有者应放弃并更换设备。 Yarmak 表示：

考虑到早期针对该漏洞的虚假修补程序（实际上是后门程序），期望厂商提供固件的安全修补程序是不切实际的……这类设备的所有者应考虑改用其他设备。

如果设备所有者负担不起新设备的价格，Yarmak 建议用户 “应该将对这些设备的网络访问完全限制在受信任的用户范围内”，尤其是在设备端口 23/tcp，9530/tcp，9527/tcp 上——这些都是可以在攻击中被利用的端口。 值得一提的是，这份所谓的概念验证代码可在 GitHub 上获得，Habr 也在帖子中也提供了概念验证代码的构建和使用说明。 至于影响，Yarmak 说，易受攻击的海思芯片很可能随同来自众多品牌和标签的无数白标签供应商的设备一起发货。雷锋网注意到，在这里，他还引用了另一位研究人员的工作，该研究人员于 2017 年 9 月在海思固件中追踪了类似的后门机制，该机制被数十家供应商出售的 DVR 使用。 海思应该背锅吗？ 看起来，这次的后门漏洞应该由海思来负责。 然而，在博客发出后，一位名为 Berlic 的读者在博客下方表示：

您正在谈论的软件应该由 Xiongmai（杭州雄迈科技有限公司，XMtech）制造。定制的 busybox 和 dvrHelper 支持 Sofia 二进制文件。许多中国的无名公司只是将其刻录到相机模块中，因为它可以正常工作。海思 SoC 本身和补充软件（HiSilicon SDK 中的 Linux 内核和内核模块）没有此漏洞 。我自己仅使用 HiSilicon SDK 中的内核和模块为基于 HiSilicon 的相机制作了固件，并且没有任何后门。

Berlic 还举例称：AXIS 确实在某些相机中使用了海思芯片，它们却并没有危险。 于是，在 Habr 博客平台的后续更新内容中，这个名为 Yarmak 的研究院又表示：

其他研究人员和 HaBr 用户指出，此类漏洞仅限于基于 Xiongmai（杭州雄迈科技有限公司，XMtech）软件的设备，包括其他销售基于此类软件的供应商的产品。目前，海思不能对 dvrHelper / macGuarder 二进制文件中的后门程序负责。

雷锋网注意到，Yarmak 在博客下方的评论区中也承认，后门程序是基于杭州雄迈科技有限公司的一款型号为 HI3518C_50H10L 的设备发现的。 这样的话，情况已经非常明朗了：

基于海思 SoC 的设备的确出了漏洞，但这个漏洞并不是海思的问题，而是设备供应商的问题。

尽管如此，依然有外媒不依不饶。 比如说，外媒 Extremetech 认为：尽管这个声明让华为或海思免于承担后门本身的责任，但是华为应当对其所发布的代码进行审核；而且，更严重的是，正如 Yarmak 所讨论的那样，这已不是第一次甚至第二次报告给华为海思方面。 只能说，何患无辞呀。