[原理已查明]斐讯K3官方固件依旧存在后门,望坛友重视
本帖最后由 ryans233 于 2017-7-29 22:53 编辑2017-07-29 22:31:22:
感谢恩山29L的提醒,算是搞清楚K3固件中疑似后门行为的原因了。
tnat的作用,就是让斐讯路由的手机App在非本地WLAN的环境下也可以远程控制路由。至于如何实现,则是通过tnat主动连接soho.cloud2.phicomm.com并在本地打开端口,将后台管理暴露在公网,让斐讯服务器来中转手机对路由的请求。
黑点在于,tnat是默认启动,连上WAN就开始监听并向斐讯服务器保持长连接。且斐讯的后台管理界面中的远程管理和App的管理不是一回事,后台管理也没有给App管理留下开关。此外,路由、手机、斐讯服务器,三方之间的连接,安全性并不能保证。
不过,tnat的行为并非完全无法控制。反编译程序可知,这货启动时会执行nvram get cloud_act_status,返回1则开始主动连接,0则直接退出。而nvram分区可读写,重启不会丢失数据。那么要想让这货不工作,只要在shell里执行以下命令,重启路由即可:nvram set cloud_act_status=0
nvram commit
但要注意,如果你在这之后又在手机运行了斐讯App,输入后台管理密码登录,确认绑定路由,之后手机还是会成功连上。猜测可能是,一旦提供了路由的管理密码,App会ssh连上路由,运行一系列代码来初始化tnat,以保证该功能的可用性。此时killall tnat,远程断开且无法连接。重启路由,cloud_act_status恢复为1。当WAN获取到IP后,tnat将会再次自启连接
==========================
先在恩山上发了一帖,以防万一再在S1发一遍吧。
起因是前几天上了波K3的车,到手后就刷了tianbaoha的官改Root固件,折腾到差不多了就用ssh连上shell运行netstat,发现这货在WAN IP开了个端口和114.141.173.26:9000建立了TCP连接。查了下IP来源为「上海市信息网络有限公司」,目的不明。当时我的netstat是busybox自带的版本,看不到对应连接的进程名和PID。
一时好奇就搜了下这个IP,发现之前在恩山和Koolshare也有相关的讨论帖,但还没人深究过。根据恩山上一名浙江电信的用户的反馈,应该和用户本身所在地区无关。http://koolshare.cn/forum.php?mod=viewthread&tid=91860&page=1#pid941792
http://www.right.com.cn/forum/thread-213892-1-1.html
昨晚闲得无聊,按照官改固件的帖子装上了entware,更新了一波后可以执行netstat -ap查看详细信息了。这次远程IP变成了114.80.61.4:9000,本地端口也有变化,但行为和之前的情况十分相似。
可以看到那个未知连接的发起进程为tnat。
shell下运行ls -l /proc/734/exe,返回结果为/usr/sbin/tnat。执行killall tnat后,该连接消失。
使用WinSCP把该文件下载下来,发现是个二进制文件(附件已传,提取自tianbaoha的官改Root固件 K3_V21.5.37.246_tb.bin)
鉴于本人实在是不了解反编译,便交给友人分析。片刻后友人得出以下结论:
至此可以得出结论:
鉴于该文件存在于/usr路径下,且/usr为只读挂载,无法直接删除该文件。临时的解决方法是每次启动路由后手动执行一遍killall tnat,应该不会影响路由本身正常工作,也暂时未观察到有第三方的守护进程尝试保活tnat。
或者也可以选择第三方的OpenWRT LEDE固件,但由于第三方固件均为个人开发的缘故,安全性也不能得到保证,用户还需提高警惕性。
希望这次事件能引起使用K3官方/官改固件的用户的重视,毕竟这件事情还能在K3上重演,只能说明斐讯的流氓本性还是死性不改。同时也希望官改固件的作者们能详细评估下tnat,如有疑似流氓行为,建议在发布时删去该文件。
本帖最后由 ryans233 于 2017-7-29 11:29 编辑
bigtit 发表于 2017-7-29 11:26
k3不是博通么, 刷了openwrt不就等于废了
想了想还是搞个k2p去
是的,所以我也是纠结于官方固件的闭源驱动和OpenWRT LEDE的开源驱动……K2P应该可以刷Padavan吧,这货在国内流行的恩山改版用的人非常多,但安全性这事没人能打包票。
bigtit 发表于 2017-7-29 11:29
博通的开源驱动肯定没法用
没有梅林番茄之类的吗
有个相当不成熟的merlin,实际刷的是RT-AC3100的merlin,bug挺多的,还是再等等吧。 斐讯的全部路由器都有后门我觉得应该是常识了吧 不是官方固件里的远程控制?
-- 来自带麻将脸的 Stage1官方 Android客户端 本帖最后由 ryans233 于 2017-7-29 12:59 编辑
四点 发表于 2017-7-29 12:32
不是官方固件里的远程控制?
-- 来自带麻将脸的 Stage1官方 Android客户端
首先那玩意默认没有启用,我也没开过那个选项。tnat则是一直保持着和远程IP的长连接,没有选项可以禁用其自启。 不用它们当主路由,只插lan口当ap,会被后门到吗? 我用的k2,大神们帮忙看一下,这个集合贴里面的固件刷那个省心好用,不需要广告过滤之类花哨的功能
http://www.right.com.cn/forum/forum.php?mod=viewthread&tid=209338&highlight=K2%2B%EC%B3%D1%B6 windbms 发表于 2017-7-29 16:10
我用的k2,大神们帮忙看一下,这个集合贴里面的固件刷那个省心好用,不需要广告过滤之类花哨的功能
http:// ...
正常用用abccba94的官改就好
做中继用的话刷hiboy的Padavan
—— 来自 OnePlus ONEPLUS A3000, Android 7.1.1上的 S1Next-鹅版 v1.2.1 NINTENDO64 发表于 2017-7-29 14:40
老老实实的用华硕网件这种
路由器才几个钱啊
说是这么说……不要钱的AC88U还是很有吸引力的( 酷乐 发表于 2017-7-29 14:07
不用它们当主路由,只插lan口当ap,会被后门到吗?
AP模式应该不会有问题 jing86 发表于 2017-7-29 17:17
正常用用abccba94的官改就好
做中继用的话刷hiboy的Padavan
谢谢啦,折腾半天终于刷上了 本帖最后由 酷乐 于 2017-7-29 19:13 编辑
NINTENDO64 发表于 2017-7-29 18:13
我不知道k3的信号能强到哪里去
再说有后门 自身固件稳定性较差 第三方固件跟不上
信号强太多了……以前的K1K2我都没开封,但这次K3和那些号称用了XX放大器的妖艳贱货完全不同。
再说1999不是一个月就收回了吗,我4月买的五月就收回了,6月再买个K2P七月也收回了(一共花了2500积分),用了就觉得有这种免费产品,其他的路由还卖得出去吗?最近联币钱包也开始搞银行监管了,虽然我已经撤得只剩1万了,但短时间内应该不会有问题…… 本帖最后由 酷乐 于 2017-7-29 19:16 编辑
ryans233 发表于 2017-7-29 17:28
AP模式应该不会有问题
那太好了,自从前年买过极路由3这种垃圾之后,我就换成了磊科的千兆企业路由接光猫,极路由3插千兆LAN口作AP,其他设备用腾达千兆电力猫,比直接用无线路由稳定太多了,扩展性也强。 酷乐 发表于 2017-7-29 18:55
强太多了,以前的K1K2我都没开封,但这次K3和那些号称用了XX放大器的妖艳贱货完全不同。
再说1999不是一 ...
K3是一年分12期返现,如果你敢投资他家的基金就能更早下车,但是风险感觉是挺大的…… 那是你有买理财才有加速啊 本帖最后由 酷乐 于 2017-7-29 19:14 编辑
暗夜明岚 发表于 2017-7-29 19:04
那是你有买理财才有加速啊
2016买了一年啊,那时候又有满减又有加息,3个月出来继续套,比其他家的理财都强……去年双11到过年那会是有点心虚,不过看到K3出来就安心了,当然K3K2P都下车后也不敢多投了……还剩个换取K2P资格的定期没出来。 k2早已下车,硬件不行,好在可以刷老毛子,非常稳定
上星期买到了k3,硬件性能确实没得说,就是目前的第三方还不行,发挥不出。买的三个月20000块定投,2000积分换一张330天加速卷,一个月就可以下车了
激活k3以后送了一张k2p的激活卷,原来k2p对老用户必须要有这个才能0元购,京东下单了一台k2p,刷老毛子以后完美,硬件全千兆,目前来看最值的一台。定投了3个月5000块,换了两张k2p加速卷,也是一个月下车。
没有意外的话,10月份中理财到期,还是很划算的。k2p真的不错,k3还得等更好的系统
—— 来自 Xiaomi Redmi Note 4X, Android 6.0.1上的 S1Next-鹅版 ryans233 发表于 2017-7-29 19:03
K3是一年分12期返现,如果你敢投资他家的基金就能更早下车,但是风险感觉是挺大的…… ...
联币最近上银行监管了,短时间问题不大的
当然这个肯定是击鼓传花,三月到期以后我也不会再投了,10%-12%的回报太危险
—— 来自 Xiaomi Redmi Note 4X, Android 6.0.1上的 S1Next-鹅版 丹羽长秀 发表于 2017-7-30 13:25
k2早已下车,硬件不行,好在可以刷老毛子,非常稳定
上星期买到了k3,硬件性能确实没得说,就是目前的第三 ...
求个k2p 老毛子固件 暗夜明岚 发表于 2017-7-30 13:55
求个k2p 老毛子固件
作者已经自删了所有的固件,不过论坛里有好心人传了一份在百度盘的
链接:http://pan.baidu.com/s/1eRI78Fg 密码:trls 最新的719版本估计难产了 先刷715吧
老样子 BREED直刷 刷完双清管理界面是192.168.97.1 双admin LZ你跟贪小便宜的人讲后门是没用的。很多人都是明知才买的 yuuu 发表于 2017-7-30 15:40
LZ你跟贪小便宜的人讲后门是没用的。很多人都是明知才买的
没关系啊,我也是明知有后门才买的(
我只是不爽那个未知IP而已 我还是老老实实用我的AC9吧 起码腾达的可以直接刷官方固件应该没有这些乱七八糟的 qhlixpfh 发表于 2017-7-30 16:39
我还是老老实实用我的AC9吧 起码腾达的可以直接刷官方固件应该没有这些乱七八糟的 ...
还可以直接刷华硕的固件.出了按钮不好使以外 刷成ASUS后不是就没后门了? 所以就是远程控制啊。内网穿透的原理不就是找个地方转发么。 四点 发表于 2017-7-30 16:52
所以就是远程控制啊。内网穿透的原理不就是找个地方转发么。
是的,然而这货是在没有使用App绑定路由,用户没有允许启用过的前提下,开机连上WAN就自启并保持与斐讯服务器的连接。所以在当时不了解有这项特性时,看到路由有个未知IP的TCP连接,肯定会很不舒服。
—— 来自 OnePlus ONEPLUS A5000, Android 7.1.1上的 S1Next-鹅版 v1.2.1 丹羽长秀 发表于 2017-7-30 15:12
作者已经自删了所有的固件,不过论坛里有好心人传了一份在百度盘的
链接:http://pan.baidu.com/s/1eRI78 ...
谢谢 现在还没有用的 到时候研究下 我记得 k2p 比k2 刷机麻烦 这路由只适合当AP,官方固件太烂了 ryans233 发表于 2017-7-30 17:12
是的,然而这货是在没有使用App绑定路由,用户没有允许启用过的前提下,开机连上WAN就自启并保持与斐讯服 ...
而且事实上,不实际的抓包分析一下,谁也不知道它有没有通过这个连接做什么别的事情。 四点 发表于 2017-7-30 17:39
而且事实上,不实际的抓包分析一下,谁也不知道它有没有通过这个连接做什么别的事情。 ...
那个连接我用tcpdump抓过半个小时,Wireshark看了下就只是在不停的keep-alive。我也没那闲工夫一直抓个好几天,鬼知道斐讯啥时候会发一条指令过来。
所以还是直接改掉nvram的配置禁用该特性为妙。
—— 来自 OnePlus ONEPLUS A5000, Android 7.1.1上的 S1Next-鹅版 v1.2.1 别人给了个K2 正在路上现在刷啥固件比较好? u8j9ku8j9k 发表于 2017-7-30 18:35
别人给了个K2 正在路上现在刷啥固件比较好?
恩山hiboyhiboyhiboy的padavan:http://www.right.com.cn/forum/thread-161324-1-1.html
或者abccba94的官改:http://www.right.com.cn/forum/thread-208753-1-1.html 暗夜明岚 发表于 2017-7-30 17:20
谢谢 现在还没有用的 到时候研究下 我记得 k2p 比k2 刷机麻烦
K2P更简单,工具网页MAC地址下一个对应自己的备份文件然后恢复备份开启SSH和telnet 然后直接telnet进去刷breed 重启以后就可以breed无限刷了 ryans233 发表于 2017-7-30 20:00
恩山hiboyhiboyhiboy的padavan:http://www.right.com.cn/forum/thread-161324-1-1.html
或者abccba94的 ...
感谢回头到手就试试去
页:
[1]
2