漫威英雄后门?即使是白宫会议也可能被黑客窃听

简介:

最新的研究表明,许多企业,甚至白宫也在使用的同一种电话会议系统,有可能遭到了黑客的窃听。

漫威英雄后门?即使是白宫会议也可能被黑客窃听

 周四,SEC Consult 公司的网络安全专家揭示了 AMX 公司生产的流行电话会议系统中的一个秘密后门。

AMX 公司是平板电脑制造商,其产品可被企业、政府、大学等机构用于电话会议。

AMX 公司在产品中留下了一个秘密账户,其用户名和密码是固定的,这一硬编码的后门可让黑客获得系统控制权,从而让入侵了机构网络的黑客能够通过该后门窃听会议内容。

在周四发布的一篇博文中,SEC Consult 的研究人员发现了这段有问题的代码。

 

漫威英雄后门?即使是白宫会议也可能被黑客窃听

 

Harman 公司负责制造 AMX 的系统,该公司公布了这一后门,但将其称为“故意留下的特性”。他们表示,可以通过去年12月发布的一份软件更新将该功能禁用。

然而安全研究人员认为这一问题仍旧很严重。

美国系统网络安全协会(SANS Institute)的网络安全讲师菲尔·海根(Phil Hagen)表示:“这等于将军方和政府的智能手机和计算机系统直接交给敌人。任何知道如何通过秘密账户登录的黑客都能从理论上访问这些设备。”

白宫并未立即对此类安全担忧作出回应。

网络安全公司 TrustedSec 的 CEO 大卫·肯尼迪(David Kennedy)认为 AMX 公司的这一严重安全漏洞和上个月 Juniper Networks 公司产品中的后门事件有许多共同之处。Juniper Networks 的产品也被美国政府和企业广泛使用。

来自 WhiteHat Security 的杰瑞米·格劳斯曼(Jeremiah Grossman)认为,可以默认使用了该系统的用户都已遭到了入侵。

无心之错?

计算机安全专家对媒体表示,很有可能是计算机编程中的粗心大意导致了该问题。接入点很有可能本是用于产品修复和开发的,但在正式发布时却意外地被保留了下来。

在发布的报告中,SEC Consult 的专家指出,AMX 制造该后门的代码的翻译结果是“黑寡妇”。他们通知过 AMX,后者当时表示,将在接下来的七个月之内修复该漏洞。

然而 SEC Consult 之后重新检查时,发现这一后门仍旧存在,但其名称变成了 1MB@tMaN (蝙蝠侠)。

这都是漫画英雄的名字。安全专家对 AMX 为何故意留下这一秘密后门的动机十分好奇。

事实上,的确有后门的名字叫做“黑寡妇”。

来自 Harmon 公司的达灵·舒洽科(Darrin Shewchuk)解释称,“黑寡妇”指的是留给客户服务和技术支持部门的维护登录入口。但这个入口不应当是秘密的。

与此同时,后来出现的“蝙蝠侠”后门与之前的“黑寡妇”截然不同,它能够让内部设备之间相互通信。这是一个替代性的后门。

舒洽科称,这种命名方式只是公司内部开玩笑的一种方式。

在以受迫害妄想闻名的计算机安全圈,该漏洞的存在引起了对监视行为的猜想。

RedTeam Security 公司主席杰瑞米·塔拉曼特(Jeremiah Talamantes) 表示:“除了在产品上故意植入后门之外,没有其它解释了。”

不论如何,它的确是个威胁。

“不论公司是否有意为之,这个后门都算得上是个大威胁。”


本文转自d1net(转载)

相关文章
|
安全 Linux 网络安全
游戏史上最大泄露事件落幕!泄露GTA6的17岁少年黑客被捕,攻击优步的也是他?!
游戏史上最大泄露事件落幕!泄露GTA6的17岁少年黑客被捕,攻击优步的也是他?!
323 0
游戏史上最大泄露事件落幕!泄露GTA6的17岁少年黑客被捕,攻击优步的也是他?!
|
安全 索引
黑客入侵唱片业协会网站 为“海盗湾”助威
据国外媒体报道,就在BT网站海盗湾(The Pirate Bay)侵权案备受关注的同时,黑客于当地时间本周三侵入了“国际唱片业协会(IFPI)”的瑞典网站。 该网站的首页被替换成了向反盗版的娱乐集团宣战的文字。
869 0
|
安全
入侵奥巴马帐号法国黑客自称是一个好黑客
一名法国黑客通过非法入侵著名社交网站Twitter服务并获得包括美国总统奥巴马和数位名人信息,这位自称“黑客克罗”的法国人在获释后接受法国电视台 采访时称:“我是一个好黑客”,他只是想警告互联网用户关注数据安全。
752 0
|
安全
反病毒专家:愚人节恶搞网站谨防遭黑客攻击
金山毒霸云安全中心日前发出预警,在近期拦截的大量“挂马”、钓鱼等恶意网页中,与“愚人节”相关的,在近一周数量急剧增加。  愚人节怎么整人好玩?近期许多恶搞网站、相关的网络论坛的流量不断攀升。金山毒霸云安全中心日前发布病毒预警提醒广大网友,恶搞他人的同时,小心成为黑客手中的“肉鸡”,被任意摆弄。
1461 0
|
黑灰产治理
别嘲笑老同志了!网络诈骗,19岁小鲜肉最容易中招
《2017中国反通讯网络诈骗报告》显示,在所有通讯诈骗案件中,“兼职刷单诈骗”位居第一,而90后和宝妈最容易受骗。
2097 0