在設(shè)備制造商富士康的應(yīng)用引導(dǎo)程序中發(fā)現(xiàn)了可創(chuàng)建Android后門Pork Explosion的漏洞，雖然受影響設(shè)備范圍不大，但該漏洞可能帶來嚴(yán)重風(fēng)險(xiǎn)。在這種情況下，該應(yīng)用引導(dǎo)程序是如何創(chuàng)建后門程序的？

研究人員Jon Sawyer在InFocus和Nextbit智能手機(jī)中發(fā)現(xiàn)一種漏洞，該漏洞是富士康在設(shè)備構(gòu)建和組裝過程中引入的。

該后門程序是在富士康設(shè)計(jì)和制造過程中創(chuàng)建的，它似乎是調(diào)試環(huán)境的一部分，用于在開發(fā)階段對(duì)設(shè)備進(jìn)行故障排除。在調(diào)試環(huán)境中這是必要的做法，但這應(yīng)該在批量生產(chǎn)之前予以禁用，以保護(hù)設(shè)備的安全性。

Pork Explosion漏洞允許攻擊者通過USB連接以在啟動(dòng)時(shí)通過應(yīng)用引導(dǎo)程序獲得無限制的root shell訪問。該引導(dǎo)程序會(huì)執(zhí)行硬件初始化的基本任務(wù)，并加載Linux內(nèi)核。在此期間，內(nèi)核保護(hù)不可用。

如果可對(duì)易受攻擊的設(shè)備進(jìn)行物理訪問，這個(gè)漏洞的風(fēng)險(xiǎn)很高，但由于這些設(shè)備并沒有被三星或其他主要制造商那樣廣泛地部署，風(fēng)險(xiǎn)不算太高。

Nextbit通過移除調(diào)試環(huán)境中使用的文件系統(tǒng)修復(fù)了此漏洞。

那些外包設(shè)備或組件制造的企業(yè)可能會(huì)希望檢查其供應(yīng)鏈以確定他們是否面臨與Pork Explosion類似的漏洞。如果是這樣，這些企業(yè)可能會(huì)試圖加強(qiáng)供應(yīng)鏈安全性以防止通過這種方式引入漏洞。

企業(yè)還應(yīng)該確保其供應(yīng)鏈的第三方對(duì)其向設(shè)備中引入的任何漏洞負(fù)責(zé)，因?yàn)槠髽I(yè)可能無法自己修復(fù)這些漏洞。