中国知名生产平板电脑和Android装置ARM处理器的IC设计业者全志科技(Allwinner),日前被国外媒体爆料称,发现在处理器的固件(Firmware )中,存在一个工程师遗留下来的后门程式,使用者只需要远端传送简单的文字指令“rootmydevice”,就可以获得平板电脑的最高管理者 (Root)权限。目前受影响的产品型号是八核心的A83T和H8处理器,以及四核心的H3处理器,这些处理器都用于中国平板电脑和OTT视讯机上盒产品 中。
这个后门程式其实就是为了便利工程师可以远端进行测试之用,可以提升使用者的权限,即便业者强调,可能是因为赶工、因为换人测试,或 者是因为没有明文记载在文件手册中,所以“忘记”删除。但对于资深的开发工程师而言,这些都是不应该发生的疏忽。因此,对于使用全志科技制造的ARM处理 器业者,就必须反问:“如果这么重要的程式码可以忘记删除,那整体的程式码严谨度和品质控管,如何让人放心呢?”
不过,这个漏洞最初的爆料者David Manouchehri ,后来把他在GitHub的爆料资料删除,也引发猜测。一般除非是爆料错误才会删除,但这次爆料的确是事实的前提下,是否有承受压力而被迫删除,不得而知。
而 在ARM的论坛armbian中,也有人帮全志科技说话,企图掩饰这次的后门程式不是后门程式,而是“权限控管”不良而已。据了解,是因为全志科技是中国 少数有开放源码的业者,为了让中国的开放源码可以持续下去,ARM论坛发言才会转风向,转而支持全志科技“权限控管不良”的说法。
目前全志科技ARM处理器的作业系统版本是Linux 3.4-Sunxi,这是一个改过的Linux作业系统,专门用来写全志科技ARM处理器的韧体;至于其他像是平板电脑所使用的Andr oid作业系统,就会加在韧体之上。
根 据中国赛迪顾问资讯,全志科技是中国知名IC设计业者,推出的ARM处理器主要用于各种白牌平板电脑,以及各种OTT盒子、车联网及穿戴式装置,更是带动中国白牌平板电脑风行的重要业者。全志科技在2012年ARM处理器出货量,曾经是中国市占最大的业者(35.9%),2014年曾与台湾联发科出货量不分伯仲;到2015年处理器销售市占率则为17%。
稿源:ithome