![[一个 GNU 头像]](/graphics/heckert_gnu.transp.small.png){kind=small}
GNU ![[Search www.gnu.org]](/graphics/icons/search.png){kind=icon}
![[Other languages]](/graphics/icons/translations.png){kind=icon}
![[Section contents]](/graphics/icons/side-menu.png "Section contents"){kind=icon}
/ 恶意软件 / 按类型 /
专有后门
非自由(专有)软件通常是恶意软件(旨在虐待用户)。非自由软件由其开发者控制,这使得开发者对用户拥有权力;这是基本的不公正。开发者和制造商经常滥用这种权力,损害他们本应服务的用户。
这通常表现为恶意功能。
一些恶意功能是通过后门实现的。以下是一些包含一个或多个后门的程序示例,根据已知后门的功能进行分类。能够完全控制其包含程序的后门被称为“通用”后门。
如果您知道应该在此页面上但未在此处出现的示例,请发送电子邮件至<[email protected]>通知我们。请提供一两个可信的参考 URL 作为具体证据。
后门功能
间谍活动
-
2020-08
Google Nest 正在接管 ADT。谷歌通过其后门向其扬声器设备发送了一个软件更新,该更新会监听烟雾警报等事物,然后通知您的手机发生了警报。这意味着这些设备现在监听的内容不仅仅是唤醒词。谷歌表示,软件更新是过早且意外发送的,谷歌计划披露这项新功能并将其提供给付费客户。
-
2017-06
许多型号的互联网连接摄像头都包含一个明显的后门 - 它们具有带有硬编码密码的登录帐户,这些密码无法更改,并且也无法删除这些帐户。
由于这些具有硬编码密码的帐户无法删除,因此这个问题不仅仅是不安全;它相当于制造商(和政府)可以用来监视用户的后门。
-
2017-01
WhatsApp 有一项功能,被描述为“后门”,因为它将使政府能够使加密失效。
开发人员说它并非旨在作为后门,这很可能是真的。但这引出了一个关键问题,即它是否发挥了后门的作用。由于该程序是非自由的,我们无法通过研究它来进行检查。
-
2015-12
微软在其磁盘加密中加入了后门。
-
2014-09
苹果可以并且经常远程提取 iPhone 中的一些数据供国家使用。
在iOS 8 的安全改进后,情况可能有所改善;但是没有苹果声称的那么多。
更改用户数据或设置
-
2022-07
宝马现在正在诱使英国客户按订阅方式为他们的新车中内置的座椅加热功能付费。人们也可以在购买汽车时选择购买该功能,但购买二手车的人必须向宝马支付额外费用才能远程启用座椅加热。这可能是通过宝马访问汽车软件中的后门来实现的。
-
2021-09
一些小米手机具有一个恶意功能,可以屏蔽掉表达中国政府不喜欢政治观点的短语。在欧洲销售的手机中,小米默认情况下会停用此功能,但有一个后门可以激活审查。
这是在可以与制造公司通信的设备中使用非自由软件的自然结果。
-
2019-05
2019 年的 BlizzCon 强制要求运行专有手机应用程序才能进入活动。
这个应用程序是一个间谍软件,可以窥探大量敏感数据,包括用户的位置和联系人列表,并且对手机拥有近乎完全的控制权。
-
2018-09
Android 有一个用于远程更改“用户”设置的后门。
文章暗示这可能是一个通用后门,但这尚不清楚。
-
2016-07
用于 Macintosh 的 Dropbox 应用程序在诱使用户输入管理员密码后控制用户界面项。
-
2016-04
一个妊娠测试控制器应用程序不仅可以窥探手机和服务器帐户中的各种数据,还可以更改它们。
-
2015-12
一些 D-Link 路由器有一个后门,可以轻松更改设置。
-
2015-11
长期以来,谷歌一直有一个远程解锁 Android 设备的后门,除非其磁盘已加密(自 Android 5.0 Lollipop 以来可能,但仍然不是默认设置)。
-
2015-11
Caterpillar 车辆配备了一个远程关闭发动机的后门。
-
2015-09
现代的免费游戏 cr…apps收集了有关其用户及其用户的朋友和同事的大量数据。
更糟糕的是,他们通过广告网络来做到这一点,这些网络合并了由不同公司制作的各种 cr…apps 和站点收集的数据。
他们使用这些数据来操纵人们购买东西,并寻找可以引导他们花很多钱的“鲸鱼”。他们还使用后门来操纵特定玩家的游戏玩法。
虽然这篇文章描述的是免费游戏,但花钱购买的游戏也可以使用相同的策略。
-
2014-03
运行专有 Android 版本的 Samsung Galaxy 设备带有一个后门,该后门可以远程访问设备上存储的文件。
-
2012-10
亚马逊 Kindle-Swindle 有一个后门,已被用来远程擦除书籍。被擦除的书籍之一是乔治·奥威尔的《1984》。
亚马逊对批评的回应是,它只会根据国家的命令删除书籍。然而,这项政策并没有持续下去。2012 年,它抹去了用户的 Kindle-Swindle 并删除了她的帐户,然后给她提供了卡夫卡式的“解释”。
其他电子书阅读器在其非自由软件中是否有后门?我们不知道,我们也没有办法找出答案。我们没有理由假设它们没有。
-
2010-11
iPhone 有一个用于远程擦除的后门。它并非总是启用,但用户会被引导启用它,而没有理解其含义。
安装、删除或禁用程序
-
2024-01
UHD 蓝光光盘加载了最恶劣的恶意软件,包括 AACS DRM。在 PC 上播放它们需要英特尔管理引擎,该引擎具有后门并且无法禁用。每个蓝光驱动器在其固件中都有一个后门,这使得 AACS 强制组织可以“撤销”播放任何受 AACS 限制的光盘的能力。
-
2023-02
微软正在远程禁用 Internet Explorer,强制用户重定向到 Microsoft Edge。
强加这种改变是恶意的,并且重定向是从一个不公正的程序 (IE) 到另一个不公正的程序 (Edge) 这一事实并不能为其辩解。
-
2023-01
微软发布了一个“更新”,该更新会在用户的计算机上安装一个监视程序,以收集有关某些已安装程序的 Microsoft 有利的数据。该更新正在自动推出,并且该程序“一次静默”运行。
-
2022-10
小米提供了一个用于解锁小米智能手机和平板电脑引导加载程序的工具,但这需要在该公司的服务器上创建帐户,即提供您的手机号码。这是您在小米设备上“合法”运行自由软件操作系统所必须付出的代价。但是,制造商通过引导加载程序中的后门保留了对解锁设备的控制权 - 该后门与远程用于解锁设备的后门相同。
-
2022-08
这种做法取决于后门,后门本身是不公正的。要求用户提前多年购买东西以避免以后支付更高的价格是一种操纵行为。
-
2021-10
Adobe 已将其 Flash Player 授权给中国的钟诚网络,后者提供的程序捆绑了间谍软件和一个可以远程停用它的后门。
Adobe 对此负有责任,因为他们允许钟诚网络这样做。这种不公正涉及 DMCA 的“滥用”,但 DMCA 的“正确”、预期使用是一种更大的不公正。存在一系列与 DMCA 相关的错误。
-
2021-08
最近的三星电视有一个后门,三星可以使用该后门远程将其变砖。
-
2021-06
谷歌在许多专有 Android 手机上自动安装了一个应用程序。该应用程序可能或可能不会执行恶意操作,但谷歌对专有 Android 手机的控制权是危险的。
-
2020-12
Adobe Flash Player 有一个通用后门,它允许 Adobe 控制该软件,例如,在它想禁用时禁用它。Adobe 将于 2021 年 1 月 12 日开始阻止 Flash 内容在 Flash Player 中运行,这表明他们可以通过后门访问每个 Flash Player。
后门在未来不会很危险,因为它会禁用一个专有程序并使用户删除该软件,但多年来这对许多用户来说是不公平的。用户甚至应该在 Flash Player 停止服务之前就删除它。
-
2020-07
宝马试图锁定其汽车的某些功能,并强迫人们为使用他们已经购买的汽车的一部分付费。这是通过无线电操作的后门强制更新汽车软件来实现的。
-
2019-08
在 Google Play 商店中发现的一个非常受欢迎的应用程序包含一个旨在秘密地在用户计算机上安装恶意软件的模块。该应用程序开发人员经常使用它来使计算机下载并执行他们想要的任何代码。
这是一个具体的例子,说明了用户在运行非自由应用程序时会面临什么。他们永远无法完全确定非自由应用程序是安全的。
-
2019-07
苹果似乎表示在 MacOS 中有一个后门用于自动更新某些(所有?)应用程序。
文章中描述的具体更改并非恶意——它保护用户免受第三方的监视——但这是一个单独的问题。
-
2018-11
Corel Paintshop Pro 有一个后门,可以使其停止工作。
鉴于我们正在链接这些文章,我们有义务揭露文章中充斥的混乱、错误和偏见。
- 获得专利并不能“使”公司在其产品中做任何特定的事情。它使公司能够做的是,如果其他公司在其产品中做了某些特定的事情,就可以起诉它们。
- 一家公司关于何时通过后门攻击用户的政策无关紧要。首先插入后门是错误的,使用后门也总是错误的。任何软件开发人员都不应该对用户拥有这种权力。
- “盗版”意味着攻击船只。使用这个词来指代共享副本是一种诽谤;请不要诽谤共享。
“保护我们的知识产权”的想法完全是混乱的。“知识产权”一词本身是对毫无共同之处的事物的虚假概括。
此外,谈论“保护”这种虚假的概括是另一种荒谬。这就像邻居的孩子在你的前院玩耍时你叫警察,并说你在“保护边界线”。孩子们不可能对边界线造成伤害,即使使用凿岩机也不行,因为它是一个抽象的概念,不会受到物理行为的影响。
-
2018-04
一些“智能”电视会自动加载会安装监控应用程序的降级程序。
我们链接到该文章是为了它提出的事实。不幸的是,文章最终提倡向 Netflix 投降的道德弱点。Netflix 应用程序也是恶意软件。
-
2015-11
百度的专有 Android 库 Moplus 有一个后门,可以“上传文件”以及强制安装应用程序。
它被 14,000 个 Android 应用程序使用。
-
2011-12
除了它的通用后门之外,Windows 8 还有一个远程删除应用程序的后门。
你可能很乐意让一个你信任的安全服务远程停用它认为恶意的程序。但是,没有任何理由可以删除这些程序,而且你应该有权决定信任谁(如果有的话)。
-
2011-03
在 Android 中,谷歌有一个后门可以远程删除应用程序。(它在一个名为 GTalkService 的程序中,该程序似乎已合并到 Google Play 中。)
谷歌还可以通过 GTalkService 强制远程安装应用程序。这不等同于通用后门,但允许各种肮脏的伎俩。
尽管谷歌迄今为止行使这种权力的行为并非恶意,但重点是,不应该有人拥有这种权力,这种权力也可能被恶意使用。你可能很乐意让一个安全服务远程停用它认为恶意的程序。但是,没有任何理由允许它删除这些程序,而且你应该有权决定信任谁(如果有的话)。
-
2008-08
iPhone 有一个后门 允许苹果远程删除苹果认为“不适当”的应用程序。乔布斯说,苹果有权这样做是可以的,因为我们当然可以信任苹果。
完全控制
-
2023-05
惠普交付的打印机带有通用后门,最近还用它来通过远程安装恶意软件来破坏它们。该恶意软件使打印机拒绝使用非惠普墨盒,甚至拒绝使用惠普现在声明为“已过期”的旧惠普墨盒。惠普将该后门称为“动态安全”,并厚颜无耻地声称这种“安全”可以保护用户免受恶意软件的侵害。
如果你拥有一台仍然可以使用非惠普墨盒的惠普打印机,我们敦促你将其与互联网断开连接。这将确保惠普不会通过“更新”其软件来破坏它。
请注意,《卫报》文章的作者如何轻信地重复惠普的断言,即“动态安全”功能可以保护用户免受恶意软件的侵害,而没有意识到这篇文章表明它所做的恰恰相反。
-
2021-11
NordicTrack 是一家销售具有视频播放功能的运动器材的公司,限制人们可以观看的内容,并且最近禁用了一个最初可以正常使用的功能。这种情况是通过自动更新发生的,可能涉及通用后门。
-
2021-06
生产跑步机的 Peloton 公司最近通过软件更新阻止人们使用跑步机的基本功能。该公司现在要求人们为已经付费购买的功能支付会员费/订阅费。
跑步机中使用的软件是专有的,可能包含强制进行软件更新的后门。它告诉我们,如果一个产品与外部网络通信,你必须预料到它会接收新的恶意软件。
请注意,该产品背后的公司表示,他们正在努力扭转这些变化,以便人们不再需要订阅即可使用锁定的功能。
显然,公众的愤怒使该公司退缩。如果我们要让它成为我们的安全保障,我们需要建立起对恶意功能(以及作为其入口的专有软件)的愤怒,达到即使是最强大的公司也不敢的地步。
-
2021-02
微软正在使用 Windows 中的通用后门,强制从运行 Windows 10 的计算机中删除 Flash 播放器。
Adobe 禁用 Flash 的事实并不能为这种滥用权力行为开脱。专有软件(如 Microsoft Windows)的性质使开发人员有权将他们的决定强加给用户。另一方面,自由软件使用户能够做出自己的决定。
-
2020-11
一些 Wavelink 和 JetStream wifi 路由器具有通用后门,使未经身份验证的用户可以远程控制路由器以及连接到网络的任何设备。有证据表明此漏洞正在被积极利用。
如果你考虑购买路由器,我们鼓励你购买一台运行自由软件的路由器。社区会检测到任何在其引入恶意功能的尝试(例如,通过固件更新),并很快纠正。
如果你不幸拥有一台运行专有软件的路由器,请不要惊慌!你或许可以将它的固件替换为 libreCMC 等自由操作系统libreCMC。如果你不知道如何操作,可以从附近的 GNU/Linux 用户组获得帮助。
-
2020-11
谷歌发布的一款新应用程序允许银行和债权人在人们未能付款时停用他们的 Android 设备。如果某人的设备被停用,它将被限制为基本功能,例如紧急呼叫和访问设置。
-
2020-07
宝马将通过通用后门远程启用和禁用汽车的功能。
-
2020-04
Google Play 服务条款坚持要求 Android 用户接受谷歌发布的应用程序中存在通用后门。
这并没有告诉我们谷歌的任何应用程序当前是否包含通用后门,但这只是一个次要问题。从道德角度来看,要求人们提前接受某些不好的待遇等同于实际这样做。后者应受到怎样的谴责,前者就应受到同样的谴责。
-
2020-01
由美国政府补贴的 Android 手机预装了广告软件和一个用于强制安装应用程序的后门。
广告软件位于基本系统配置应用程序的修改版本中。该后门是偷偷添加到程序中的,该程序声明的目的是成为固件的通用后门。
换句话说,一个存在的理由是恶意的程序有一个秘密的次要恶意目的。所有这一切都是在 Android 本身恶意软件之外的。
-
2019-10
中国共产党的“学习强国”应用程序被发现包含后门,允许开发人员以“超级用户”身份在其用户的手机中运行他们想要的任何代码。
注意:《华盛顿邮报》的文章版本(部分模糊,但在文本编辑器中复制粘贴后可以阅读)包含一项澄清,称测试仅在 Android 版本的应用程序上进行,并且据苹果公司称,“这种 ‘超级用户’ 监视无法在苹果的操作系统上进行。”
-
2019-08
ChromeBook 被编程为报废:ChromeOS 有一个用于更新的通用后门,并且在预定日期停止运行。从那时起,似乎没有任何对计算机的支持。
换句话说,当你不再被后门困扰时,你就会开始被报废困扰。
-
2019-02
某些福特汽车的 FordPass Connect 功能可以几乎完全访问内部汽车网络。它始终连接到蜂窝电话网络并向福特发送大量数据,包括汽车位置。即使拔下点火钥匙,此功能也会运行,并且用户报告说他们无法禁用它。
如果你拥有一辆这样的汽车,你是否成功地通过断开蜂窝调制解调器或用铝箔包裹天线来破坏连接?
-
2018-12
新款通用汽车提供了通用后门的功能。
每个非自由程序都会让用户无法获得针对其开发人员的任何安全性。有了这种恶意功能,通用汽车明确地使情况变得更糟。
-
2017-11
Furby Connect 玩具拥有一个通用后门。如果该产品出厂时并非监听设备,那么对代码进行远程更改肯定能将其转换为监听设备。
-
2017-11
索尼重新推出了其机器人宠物 Aibo,这次它带有一个通用后门,并且绑定到一个需要订阅的服务器。
-
2017-09
特斯拉使用软件来限制某些汽车中客户可用的电池部分,并且在软件中使用了通用后门来临时增加此限制。
虽然远程允许汽车“车主”使用全部电池容量不会对他们造成任何伤害,但同样的后门也允许特斯拉(可能是在某个政府的命令下)远程命令汽车不使用任何电池。或者可能将乘客开到酷刑监狱。
-
2017-02
Vizio “智能”电视拥有一个通用后门。
-
2016-09
小米手机的应用程序处理器中带有一个通用后门,供小米使用。
这与本地电话公司可以使用的调制解调器处理器中的通用后门是分开的。
-
2016-08
微软 Windows 有一个通用后门,通过该后门可以对用户施加任何更改。
这在 2007 年针对 XP 和 Vista 进行了报道,并且似乎微软使用了相同的方法将 Windows 10 降级 推送到了运行 Windows 7 和 8 的计算机上。
在 Windows 10 中,通用后门不再隐藏;所有“升级”都将是强制且立即执行的。
-
2016-06
亚马逊 Echo 似乎有一个通用后门,因为它会自动安装“更新”。
我们没有发现任何明确记录表明无法禁用对软件的远程更改,因此我们不完全确定没有禁用方法,但这似乎非常清楚。
-
2014-12
一个中国版本的 Android 有一个通用后门。几乎所有型号的手机在调制解调器芯片中都有一个通用后门。那么酷派为什么要引入另一个后门呢?因为这个后门由酷派控制。
- 2013-11
- 2012-07
-
2006-12
几乎每部手机的通信处理器都有一个通用后门,通常用于使手机传输它听到的所有对话。有关更多信息,请参阅移动设备中的恶意软件。
其他或未定义
-
2024-09
起亚汽车在制造时带有后门,使该公司的服务器能够定位它们并控制它们。车主可以通过起亚服务器访问这些控件。这本身并不令人反感。然而,起亚本身拥有这种控制权是奥威尔式的,应该是非法的。奥威尔式蛋糕上的糖霜是服务器存在一个安全漏洞,允许任何人激活任何起亚汽车的这些控制。
许多人会对那个安全漏洞感到愤怒,但这可能是个意外。起亚在将汽车出售给客户后仍然对汽车拥有这种控制权才是我们感到愤怒的地方,这一定是起亚故意的。
-
2023-12
苹果设备中的一个后门,从至少 2019 年到 2023 年存在并被滥用,允许黑客通过发送 iMessage 短信来完全控制它们,这些短信在用户没有任何操作的情况下安装恶意软件。除其他事项外,感染还使入侵者可以访问所有者的麦克风录音、照片、位置和其他个人数据。
-
2017-11
英特尔故意的“管理引擎”后门也存在无意的后门。
-
2016-09
卡普空的《街头霸王 V》更新安装了一个驱动程序,该驱动程序可以被安装在 Windows 计算机上的任何应用程序用作后门,但在公众强烈抗议后立即回滚。
-
2015-11
发货时安装了 Windows 的戴尔计算机具有一个虚假的根证书,该证书允许任何人(不仅仅是戴尔)远程授权任何软件在计算机上运行。
-
2015-11
ARRIS 有线调制解调器在后门中有一个后门。
-
2015-10
“自加密”磁盘驱动器使用专有固件进行加密,因此您不能信任它。西数 “My Passport” 驱动器有一个后门。
-
2015-04
Mac OS X 有一个有意的本地后门,持续了 4 年,攻击者可以利用它来获得 root 权限。
-
2013-09
这是一个细节仍然保密的重大问题:联邦调查局要求许多公司在专有程序中设置后门。我们不知道具体是在哪些情况下完成的,但每个用于加密的专有程序都有可能存在后门。
-
2013-08
德国政府由于 TPM 2.0 芯片的潜在后门功能,正在避开使用 TPM 2.0 的 Windows 8 计算机(德语原文)。
-
2013-07
这是一个我们无法证明但值得思考的怀疑:英特尔和 AMD 微处理器的可写微代码可能是美国国家安全局在微软的帮助下入侵计算机的工具,受人尊敬的安全专家表示。
-
2013-07
使用专有 “Left Hand” 操作系统的 HP “存储设备” 具有后门,允许 HP 对其进行远程登录访问。惠普声称这不会让惠普访问客户的数据,但如果后门允许安装软件更改,则可以安装一个会访问客户数据的更改。
电子前沿基金会 (EFF) 还有其他关于使用后门的例子。
![[FSF logo]](/graphics/fsf-logo-notext-small.png){kind=logo}