Foxconn i Pork Explosion – największy producent elektroniki z tylnymi furtkami?
Nie sposób mieć dziś złudzenia co do tego, że branża IT w segmencie konsumenckim jest w dużej mierze fasadowa, a za wielkimi i rozpoznawalnymi na całym świecie markami stoją ogromne dalekowschodnie kombinaty, które zajmują się w zasadzie wszystkim, od dostawy pojedynczych podzespołów do projektowania i produkowania kompletnych urządzeń. Najważniejszym z nich jest tajwański Foxconn, a w zasadzie Hon Hai Precision Industry Co., największy producent elektroniki na świecie.
A co jeśli korporacja o możliwościach takich jak Foxconn zdecyduje się na pozostawienie w dostarczanym wraz ze sprzętem oprogramowaniu tylnej furtki? Wówczas miliony urządzeń, a w zasadzie ich właścicieli, narażone zostaną na nieautoryzowany dostęp do smartfonu czy tabletu. A według informacji opublikowanych przez Jona Sawyera, eksperta ds. bezpieczeństwa Androida, który znany jest lepiej jako BBQ MASER SUPREME, mamy do czynienia z właśnie taką sytuacją.
Sawyer ujawnił na swoim blogu istnienie backdoora Pork Explosion. Według niego, Foxconn może w każdym urządzeniu, w którym zastosowano podzespoły produkcji tej korporacji, pozostawić tylną furtkę w bootloaderze. Na razie Pork Explosion odnaleziono w dwóch urządzeniach – mowa o smartfonie Nextbit Robin, który okazał się spektakularnym sukcesem na Kickstarterze ze względu na ciekawe wzornictwo i wykorzystanie chmury, oraz inFocus M810.
Bez paniki, na szczęście dostęp do backdoora możliwy ma być tylko przy fizycznym kontakcie z urządzeniem – po podłączeniu smartfonu przez USB i z wykorzystaniem fastboota lub adb. Foxconn dostarcza wraz z firmware własny fabryczny tryb testowy, czyli de facto debugger. Problem w tym, że uzyskanie do niego dostępu daje użytkownikowi uprawnienia roota z ominięciem zabezpieczeń dostarczanych w Androidzie lub przez producenta, a stąd już krótka droga do ominięcia szyfrowania, ekstrakcji danych czy odblokowania bootloadera bez usunięcia danych użytkownika.
Według Sawyera producenci nie mają świadomości istnienia możliwości jaki daje tryb testowy Foxconnu. Nieznana jest także liczba podatnych urządzeń, w teorii mógł się on znaleźć w każdym urządzeniu z Androidem z podzespołami od tajwańskiej firmy. Szczegóły oraz instrukcje dotyczące tego, jak sprawdzić, czy urządzenie posiada tryb testowy Foxconnu, znajdują się na stronie BBQ.
