Pork Explosion漏洞：它是如何被用於創建Android後門程序的？

在設備製造商富士康的應用引導程序中發現了可創建Android後門Pork Explosion的漏洞，雖然受影響設備範圍不大，但該漏洞可能帶來嚴重風險。在這種情況下，該應用引導程序是如何創建後門程序的？

研究人員Jon Sawyer在InFocus和Nextbit智能手機中發現一種漏洞，該漏洞是富士康在設備構建和組裝過程中引入的。

該後門程序是在富士康設計和製造過程中創建的，它似乎是調試環境的一部分，用於在開發階段對設備進行故障排除。在調試環境中這是必要的做法，但這應該在批量生產之前予以禁用，以保護設備的安全性。

Pork Explosion漏洞允許攻擊者通過USB連接以在啟動時通過應用引導程序獲得無限制的root shell訪問。該引導程序會執行硬體初始化的基本任務，並載入Linux內核。在此期間，內核保護不可用。

如果可對易受攻擊的設備進行物理訪問，這個漏洞的風險很高，但由於這些設備並沒有被三星或其他主要製造商那樣廣泛地部署，風險不算太高。

Nextbit通過移除調試環境中使用的文件系統修復了此漏洞。

那些外包設備或組件製造的企業可能會希望檢查其供應鏈以確定他們是否面臨與Pork Explosion類似的漏洞。如果是這樣，這些企業可能會試圖加強供應鏈安全性以防止通過這種方式引入漏洞。

企業還應該確保其供應鏈的第三方對其向設備中引入的任何漏洞負責，因為企業可能無法自己修復這些漏洞。