資安專家：富士康代工手機疑有後門，駭客可蹺過密碼保護

jis2577

專家指出富士康在代工手機上原本用來測試的程式除蟲功能，疑似在品牌客戶不知情的狀況下保留，一旦駭客取得用戶的手機，可繞過手機的密碼鎖機機制進入工廠模式，隨意取得手機上的機密資訊。

一名資訊安全部落客12日公布發現的一項重大資安漏洞，發現在鴻海富士康代工的Android手機上，存在後門程式，一旦駭客取得實體手機，便可能取得手機根權限，控制該手機、取得用戶資料。
資安研究專家John Sawyer在自己的部落格公布了相關發現，並將該漏洞稱為「豬肉大爆炸(Pork Explosion)」，用以諷刺該漏洞可讓駭客取得眾多機密資料(形同肥肉)。該後門漏洞來自於富士康安裝在代工客戶手機上的應用啟動程式碼中的程式除蟲功能，該功能原本應該是代工廠用來進行測試用，但卻疑似在品牌客戶不知情的狀況下，存在於富士康代工的手機中。
John Sawyer表示，目前發現包括Infocus的M810與Nextbit的Robin兩款手機存在該漏洞，他並推測其他富士康代工的Android手機，可能都存在相同漏洞，並指謫漏洞的成因來自於富士康的輕忽。
所幸該漏洞必須取得實體手機才能被利用，但一但駭客利用了該漏洞，便可繞過手機本身的密碼鎖機機制，讓手機進入工廠模式，可隨意取得手機上的機密資訊。
Nextbit已經在日前修復了該漏洞，但Sawyer並未交代Infocus是否亦留意並修補了該漏洞。