最新的研究表明,許多企業,甚至白宮也在使用的同一種電話會議系統,有可能遭到了黑客的竊聽。
周四,SEC Consult 公司的網絡安全專家揭示了 AMX 公司生産的流行電話會議系統中的一個秘密後門。
AMX 公司是平闆電腦制造商,其産品可被企業、政府、大學等機構用于電話會議。
AMX 公司在産品中留下了一個秘密賬戶,其使用者名和密碼是固定的,這一寫死的後門可讓黑客獲得系統控制權,進而讓入侵了機構網絡的黑客能夠通過該後門竊聽會議内容。
在周四釋出的一篇博文中,SEC Consult 的研究人員發現了這段有問題的代碼。
Harman 公司負責制造 AMX 的系統,該公司公布了這一後門,但将其稱為“故意留下的特性”。他們表示,可以通過去年12月釋出的一份軟體更新将該功能禁用。
然而安全研究人員認為這一問題仍舊很嚴重。
美國系統網絡安全協會(SANS Institute)的網絡安全講師菲爾·海根(Phil Hagen)表示:“這等于将軍方和政府的智能手機和計算機系統直接交給敵人。任何知道如何通過秘密賬戶登入的黑客都能從理論上通路這些裝置。”
白宮并未立即對此類安全擔憂作出回應。
網絡安全公司 TrustedSec 的 CEO 大衛·肯尼迪(David Kennedy)認為 AMX 公司的這一嚴重安全漏洞和上個月
Juniper Networks 公司産品中的後門事件有許多共同之處。Juniper Networks 的産品也被美國政府和企業廣泛使用。
來自 WhiteHat Security 的傑瑞米·格勞斯曼(Jeremiah Grossman)認為,可以預設使用了該系統的使用者都已遭到了入侵。
無心之錯?
計算機安全專家對媒體表示,很有可能是計算機程式設計中的粗心大意導緻了該問題。接入點很有可能本是用于産品修複和開發的,但在正式釋出時卻意外地被保留了下來。
在釋出的報告中,SEC Consult 的專家指出,AMX 制造該後門的代碼的翻譯結果是“黑寡婦”。他們通知過 AMX,後者當時表示,将在接下來的七個月之内修複該漏洞。
然而 SEC Consult 之後重新檢查時,發現這一後門仍舊存在,但其名稱變成了 1MB@tMaN (蝙蝠俠)。
這都是漫畫英雄的名字。安全專家對 AMX 為何故意留下這一秘密後門的動機十分好奇。
事實上,的确有後門的名字叫做“黑寡婦”。
來自 Harmon 公司的達靈·舒洽科(Darrin Shewchuk)解釋稱,“黑寡婦”指的是留給客戶服務和技術支援部門的維護登入入口。但這個入口不應當是秘密的。
與此同時,後來出現的“蝙蝠俠”後門與之前的“黑寡婦”截然不同,它能夠讓内部裝置之間互相通信。這是一個替代性的後門。
舒洽科稱,這種命名方式隻是公司内部開玩笑的一種方式。
在以受迫害妄想聞名的計算機安全圈,該漏洞的存在引起了對監視行為的猜想。
RedTeam Security 公司主席傑瑞米·塔拉曼特(Jeremiah Talamantes) 表示:“除了在産品上故意植入後門之外,沒有其它解釋了。”
不論如何,它的确是個威脅。
“不論公司是否有意為之,這個後門都算得上是個大威脅。”
本文轉自d1net(轉載)