包含富士康固件的某些安卓设备可能会因OS 引导装载程序内的调试功能遭受攻击。该功能是一个“后门”,允许入侵者通过USB访问脆弱的手机绕过验证程序。该后门名为“Pork Explosion”。
引导装载程序(启动Android OS的代码)中存在“后门”的原因是,多个OEM允许富士康生产并供应某些电子固件,用来粘合Android设备所有部件。
富士康调试功能即是“后门”
美国安全专家Jon Sawyer 8月底发现,用于启动Android设备的固件不需要经过适当的验证程序。
Jon Sawyer称,通过物理访问设备,便能通过USB将设备连接到电脑,并使用特定软件在启动程序过程中与设备交互。
这类软件更可能是富士康调试器,但Sawyer能创建自己的客户端并运行命令进入“出厂测试模式”。
该测试模式(又名“后门”)能通过Fastboot访问。Fastboot是处理启动命令的协议。Sawyer称,访问后门的启动命令为 “reboot-ftm”,并只能使用定制软件发送到设备,而不通过Android或OEM特有的Fastboot接口。
Sawyer称,“显然,调试功能是 “后门”,但并不应该出现在现代设备中,这是富士康部件的重大疏忽。”
通过USB访问“后门”,禁用SELinux
Sawyer表示,更糟糕的是,当用户进入“出厂测试模式”,便是“root”用户,可以完全控制手机,并且主要的Android安全组件SELinux会被完全禁用。
“简言之,通过USB可以完全控制,轻松劫持,不需要注册访问设备。该漏洞完全绕过设备的验证和授权控制。这是取证数据提取的主要目标。”
Sawyer补充道,“由于具有在密码保护或加密设备上获取root shell的能力,Pork Explosion对在取证数据提取、蛮力加密密钥或不需重置用户数据解锁设备引导装载程序方面具有价值。手机厂商未意识到此后门已经置入他们的产品。”
受影响设备数量未知
“Pork Explosion”后门影响了大量设备。不幸的是,受影响的OEM和智能手机模型尚不清楚。Sawyer提供一些信息检测检测Android设备是否受Pork Explosion后门影响:
“若想检测设备,可以查看“ftmboot”和“ftmdata”分区。Ftmboot分区连接传统的Android内核/内存虚拟盘图像,该分区禁用了SELinux,并且adb作为root运行。Ftmdata分区在ftm bootmode期间安装在/data上。这些分区只是说明设备易受攻击的一个标志。”
上一篇:法国第五电视台遭受网络攻击内幕
下一篇:瑞星:未来中国信息安全趋势展望