你也許不知道,ISP擁有權(quán)限能向你購買的有線調(diào)制解調(diào)器推送固件更新,不需要經(jīng)過你的許可。對大多數(shù)而言,這可能沒什么。但從安全的角度看,這是一個安全弱點。而有線調(diào)制解調(diào)器至今仍然是嵌入式安全研究熱門主題的一個原因就是它的代碼很爛。一位安全研究人員最近在美國電信設(shè)備制造商Arris Group的有線調(diào)制解調(diào)器中發(fā)現(xiàn)了一個后門,允許使用定制密碼特權(quán)登入。
對后門代碼的進(jìn)一步研究發(fā)現(xiàn),它里面還藏了一個后門,訪問密鑰是根據(jù)設(shè)備系列號生成的。Arris的有線調(diào)制解調(diào)器之前已經(jīng)發(fā)現(xiàn)過一個后門。