Thứ Hai, 21 tháng 5, 2012

ZTE thú nhận về cửa hậu trong một trong những thiết bị Android của hãng


ZTE admits to backdoor in one of its Android devices
21 May 2012, 12:05
Theo: http://www.h-online.com/security/news/item/ZTE-admits-to-backdoor-in-one-of-its-Android-devices-1580108.html
Bài được đưa lên Internet ngày: 21/05/2012
ZTE logo
Lời người dịch: Có cửa hậu trong các thiết bị cầm tay chạy trên Android trong mẫu máy Score M của ZTE được bán tại Mỹ. “Ứng dụng đó, khi chạy với mật khẩu trên, trao cho người sử dụng sự truy cập tới gốc root đối với thiết bị và vì thế có thể được sử dụng để chiếm quyền hoàn toàn chiếc điện thoại”. “Nhà nghiên cứu an ninh Dmitri Alperovitch, người đã phát hiện ra lỗ hổng an ninh, nói rằng ứng dụng đó đã hoàn toàn được đặt vào các thiết bị một cách có chủ tâm khi ZTE từng sử dụng nó để phân phối các cập nhật phần mềm cho các điện thoại. Ông không thể nói liệu ứng dụng cửa hậu đó có là độc hại hay chỉ đơn giản là một lỗi chương trình sơ ý từ phía ZTE. Thừa nhận về chỗ bị tổn thương đã bắt đầu lan rộng tuần trước sau khi một người sử dụng nặc danh đã phát hiện ra nó trong Pastebin. ZTE, nhà sản xuất máy cần tay lớn thứ 4 trên thế giới, đang bị săm soi kỹ lưỡng tại Mỹ về những sợ hãi các cửa hậu trong các thiết bị được các nhà sản xuất Trung Quốc cung cấp”.
Nhà sản xuất máy cầm tay Trung Quốc ZTE đã khẳng định rằng một chỗ bị tổn thương về an ninh hiện diện trong điện thoại thông minh Score M của ZTE dựa vào Android. Điện thoại này có một ứng dụng, /system/bin/sync_agent, với một mật khẩu được lập trình cứng mà bây giờ có thể dễ dàng tìm thấy được trên Internet. Ứng dụng đó, khi chạy với mật khẩu trên, trao cho người sử dụng sự truy cập tới gốc root đối với thiết bị và vì thế có thể được sử dụng để chiếm quyền hoàn toàn chiếc điện thoại.
Theo ZTE, cửa hậu chỉ có ảnh hưởng tới mẫu Score M được bán tại Mỹ và hãng này đang “tích cực làm việc” về một bản vá mà nên được phân phối qua không trung “trong tương lai gần”. ZTE nói rằng, bất chấp các báo cáo trước đó, thiết bị cầm tay Skate của ZTE không bị ảnh hưởng.
Nhà nghiên cứu an ninh Dmitri Alperovitch, người đã phát hiện ra lỗ hổng an ninh, nói rằng ứng dụng đó đã hoàn toàn được đặt vào các thiết bị một cách có chủ tâm khi ZTE từng sử dụng nó để phân phối các cập nhật phần mềm cho các điện thoại. Ông không thể nói liệu ứng dụng cửa hậu đó có là độc hại hay chỉ đơn giản là một lỗi chương trình sơ ý từ phía ZTE.
Thừa nhận về chỗ bị tổn thương đã bắt đầu lan rộng tuần trước sau khi một người sử dụng nặc danh đã phát hiện ra nó trong Pastebin. ZTE, nhà sản xuất máy cần tay lớn thứ 4 trên thế giới, đang bị săm soi kỹ lưỡng tại Mỹ về những sợ hãi các cửa hậu trong các thiết bị được các nhà sản xuất Trung Quốc cung cấp.
Chinese handset manufacturer ZTE has confirmed that a security vulnerability is present in the Android-based ZTE Score M smartphone. The phone includes an application, /system/bin/sync_agent, with a hard-coded password that can, now, be easily found on the internet. The application, when run with the password, gives the user root access to the device and therefore could be used to completely take over a phone.
According to ZTE, the backdoor only effects the Score M model sold in the US and the company is "actively working" on a patch that should be delivered over-the-air "in the near future". ZTE says that, despite earlier reports, the ZTE Skate handset is not affected.
Security researcher Dmitri Alperovitch, who discovered the security hole, said that the application was definitely placed on the devices deliberately as ZTE was using it to deliver software updates to the phones. He could not say though if the backdoor application was malicious or simply a careless programming mistake on the part of ZTE.
Knowledge of the vulnerability began to spread last week after an anonymous user disclosed it on Pastebin. ZTE, the world's fourth largest handset manufacturer, is already under close scrutiny in the US over fears of backdoors in devices supplied by Chinese manufacturers.
(fab)
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.