[原理已查明]斐讯K3官方固件依旧存在后门，望坛友重视

ryans233

2017-07-29 22:31:22：
感谢恩山29L的提醒，算是搞清楚K3固件中疑似后门行为的原因了。
tnat的作用，就是让斐讯路由的手机App在非本地WLAN的环境下也可以远程控制路由。至于如何实现，则是通过tnat主动连接soho.cloud2.phicomm.com并在本地打开端口，将后台管理暴露在公网，让斐讯服务器来中转手机对路由的请求。
黑点在于，tnat是默认启动，连上WAN就开始监听并向斐讯服务器保持长连接。且斐讯的后台管理界面中的远程管理和App的管理不是一回事，后台管理也没有给App管理留下开关。此外，路由、手机、斐讯服务器，三方之间的连接，安全性并不能保证。
不过，tnat的行为并非完全无法控制。反编译程序可知，这货启动时会执行nvram get cloud_act_status，返回1则开始主动连接，0则直接退出。而nvram分区可读写，重启不会丢失数据。那么要想让这货不工作，只要在shell里执行以下命令，重启路由即可：

1. nvram set cloud_act_status=0
   
2. nvram commit

复制代码

但要注意，如果你在这之后又在手机运行了斐讯App，输入后台管理密码登录，确认绑定路由，之后手机还是会成功连上。猜测可能是，一旦提供了路由的管理密码，App会ssh连上路由，运行一系列代码来初始化tnat，以保证该功能的可用性。此时killall tnat，远程断开且无法连接。重启路由，cloud_act_status恢复为1。当WAN获取到IP后，tnat将会再次自启连接

==========================
先在恩山上发了一帖，以防万一再在S1发一遍吧。

起因是前几天上了波K3的车，到手后就刷了tianbaoha的官改Root固件，折腾到差不多了就用ssh连上shell运行netstat，发现这货在WAN IP开了个端口和114.141.173.26:9000建立了TCP连接。查了下IP来源为「上海市信息网络有限公司」，目的不明。当时我的netstat是busybox自带的版本，看不到对应连接的进程名和PID。


一时好奇就搜了下这个IP，发现之前在恩山和Koolshare也有相关的讨论帖，但还没人深究过。根据恩山上一名浙江电信的用户的反馈，应该和用户本身所在地区无关。http://koolshare.cn/forum.php?mod=viewthread&tid=91860&page=1#pid941792
http://www.right.com.cn/forum/thread-213892-1-1.html

昨晚闲得无聊，按照官改固件的帖子装上了entware，更新了一波后可以执行netstat -ap查看详细信息了。这次远程IP变成了114.80.61.4:9000，本地端口也有变化，但行为和之前的情况十分相似。


可以看到那个未知连接的发起进程为tnat。
shell下运行ls -l /proc/734/exe，返回结果为/usr/sbin/tnat。执行killall tnat后，该连接消失。
使用WinSCP把该文件下载下来，发现是个二进制文件（附件已传，提取自tianbaoha的官改Root固件 K3_V21.5.37.246_tb.bin）
tnat.zip (18.03 KB, 下载次数: 27)

2017-7-29 11:21 上传

点击文件名下载附件

鉴于本人实在是不了解反编译，便交给友人分析。片刻后友人得出以下结论：


至此可以得出结论：


鉴于该文件存在于/usr路径下，且/usr为只读挂载，无法直接删除该文件。临时的解决方法是每次启动路由后手动执行一遍killall tnat，应该不会影响路由本身正常工作，也暂时未观察到有第三方的守护进程尝试保活tnat。
或者也可以选择第三方的OpenWRT LEDE固件，但由于第三方固件均为个人开发的缘故，安全性也不能得到保证，用户还需提高警惕性。
希望这次事件能引起使用K3官方/官改固件的用户的重视，毕竟这件事情还能在K3上重演，只能说明斐讯的流氓本性还是死性不改。同时也希望官改固件的作者们能详细评估下tnat，如有疑似流氓行为，建议在发布时删去该文件。

ryans233

bigtit 发表于 2017-7-29 11:26
k3不是博通么, 刷了openwrt不就等于废了
想了想还是搞个k2p去

是的，所以我也是纠结于官方固件的闭源驱动和OpenWRT LEDE的开源驱动……K2P应该可以刷Padavan吧，这货在国内流行的恩山改版用的人非常多，但安全性这事没人能打包票。

ryans233

bigtit 发表于 2017-7-29 11:29
博通的开源驱动肯定没法用
没有梅林番茄之类的吗

有个相当不成熟的merlin，实际刷的是RT-AC3100的merlin，bug挺多的，还是再等等吧。

qhlixpfh

斐讯的全部路由器都有后门我觉得应该是常识了吧

四点

不是官方固件里的远程控制？

  -- 来自带麻将脸的 Stage1官方 Android客户端

ryans233

四点 发表于 2017-7-29 12:32
不是官方固件里的远程控制？

  -- 来自带麻将脸的 Stage1官方 Android客户端

首先那玩意默认没有启用，我也没开过那个选项。tnat则是一直保持着和远程IP的长连接，没有选项可以禁用其自启。

NINTENDO64

老老实实的用华硕网件这种

路由器才几个钱啊

  -- 来自能看大图的 Stage1官方 iOS客户端

windbms

我用的k2，大神们帮忙看一下，这个集合贴里面的固件刷那个省心好用，不需要广告过滤之类花哨的功能
http://www.right.com.cn/forum/fo ... t=K2%2B%EC%B3%D1%B6

jing86

windbms 发表于 2017-7-29 16:10
我用的k2，大神们帮忙看一下，这个集合贴里面的固件刷那个省心好用，不需要广告过滤之类花哨的功能
http:// ...

正常用用abccba94的官改就好
做中继用的话刷hiboy的Padavan

—— 来自 OnePlus ONEPLUS A3000, Android 7.1.1上的 S1Next-鹅版 v1.2.1

ryans233

NINTENDO64 发表于 2017-7-29 14:40
老老实实的用华硕网件这种

路由器才几个钱啊

说是这么说……不要钱的AC88U还是很有吸引力的（

ryans233

酷乐 发表于 2017-7-29 14:07
不用它们当主路由，只插lan口当ap，会被后门到吗？

AP模式应该不会有问题

NINTENDO64

ryans233 发表于 2017-07-29 17:25:47
说是这么说……不要钱的AC88U还是很有吸引力的（

我不知道k3的信号能强到哪里去

再说有后门 自身固件稳定性较差 第三方固件跟不上

如果1999能成功下车还好说 翻车就亏大了

我用过k2 的确是一个渣渣

  -- 来自能看大图的 Stage1官方 iOS客户端

windbms

jing86 发表于 2017-7-29 17:17
正常用用abccba94的官改就好
做中继用的话刷hiboy的Padavan

谢谢啦，折腾半天终于刷上了

ryans233

酷乐 发表于 2017-7-29 18:55
强太多了，以前的K1K2我都没开封，但这次K3和那些号称用了XX放大器的妖艳贱货完全不同。

再说1999不是一 ...

K3是一年分12期返现，如果你敢投资他家的基金就能更早下车，但是风险感觉是挺大的……

暗夜明岚

那是你有买理财才有加速啊

丹羽长秀

k2早已下车，硬件不行，好在可以刷老毛子，非常稳定
上星期买到了k3，硬件性能确实没得说，就是目前的第三方还不行，发挥不出。买的三个月20000块定投，2000积分换一张330天加速卷，一个月就可以下车了
激活k3以后送了一张k2p的激活卷，原来k2p对老用户必须要有这个才能0元购，京东下单了一台k2p，刷老毛子以后完美，硬件全千兆，目前来看最值的一台。定投了3个月5000块，换了两张k2p加速卷，也是一个月下车。
没有意外的话，10月份中理财到期，还是很划算的。k2p真的不错，k3还得等更好的系统

—— 来自 Xiaomi Redmi Note 4X, Android 6.0.1上的 S1Next-鹅版

丹羽长秀

ryans233 发表于 2017-7-29 19:03
K3是一年分12期返现，如果你敢投资他家的基金就能更早下车，但是风险感觉是挺大的…… ...

联币最近上银行监管了，短时间问题不大的
当然这个肯定是击鼓传花，三月到期以后我也不会再投了，10%-12%的回报太危险

—— 来自 Xiaomi Redmi Note 4X, Android 6.0.1上的 S1Next-鹅版

暗夜明岚

丹羽长秀 发表于 2017-7-30 13:25
k2早已下车，硬件不行，好在可以刷老毛子，非常稳定
上星期买到了k3，硬件性能确实没得说，就是目前的第三 ...

求个k2p 老毛子固件

丹羽长秀

暗夜明岚 发表于 2017-7-30 13:55
求个k2p 老毛子固件

作者已经自删了所有的固件，不过论坛里有好心人传了一份在百度盘的
链接：http://pan.baidu.com/s/1eRI78Fg 密码：trls 最新的719版本估计难产了 先刷715吧
老样子 BREED直刷 刷完双清  管理界面是192.168.97.1 双admin

yuuu

LZ你跟贪小便宜的人讲后门是没用的。很多人都是明知才买的

ryans233

yuuu 发表于 2017-7-30 15:40
LZ你跟贪小便宜的人讲后门是没用的。很多人都是明知才买的

没关系啊，我也是明知有后门才买的（
我只是不爽那个未知IP而已

qhlixpfh

我还是老老实实用我的AC9吧 起码腾达的可以直接刷官方固件  应该没有这些乱七八糟的

塔奇克马

qhlixpfh 发表于 2017-7-30 16:39
我还是老老实实用我的AC9吧 起码腾达的可以直接刷官方固件  应该没有这些乱七八糟的 ...

还可以直接刷华硕的固件.出了按钮不好使以外

valk008l

刷成ASUS后不是就没后门了？

四点

所以就是远程控制啊。内网穿透的原理不就是找个地方转发么。

ryans233

四点 发表于 2017-7-30 16:52
所以就是远程控制啊。内网穿透的原理不就是找个地方转发么。

是的，然而这货是在没有使用App绑定路由，用户没有允许启用过的前提下，开机连上WAN就自启并保持与斐讯服务器的连接。所以在当时不了解有这项特性时，看到路由有个未知IP的TCP连接，肯定会很不舒服。

—— 来自 OnePlus ONEPLUS A5000, Android 7.1.1上的 S1Next-鹅版 v1.2.1

暗夜明岚

丹羽长秀 发表于 2017-7-30 15:12
作者已经自删了所有的固件，不过论坛里有好心人传了一份在百度盘的
链接：http://pan.baidu.com/s/1eRI78 ...

谢谢 现在还没有用的 到时候研究下 我记得 k2p 比k2 刷机麻烦

小贝伦

这路由只适合当AP，官方固件太烂了

四点

ryans233 发表于 2017-7-30 17:12
是的，然而这货是在没有使用App绑定路由，用户没有允许启用过的前提下，开机连上WAN就自启并保持与斐讯服 ...

而且事实上，不实际的抓包分析一下，谁也不知道它有没有通过这个连接做什么别的事情。

ryans233

四点 发表于 2017-7-30 17:39
而且事实上，不实际的抓包分析一下，谁也不知道它有没有通过这个连接做什么别的事情。 ...

那个连接我用tcpdump抓过半个小时，Wireshark看了下就只是在不停的keep-alive。我也没那闲工夫一直抓个好几天，鬼知道斐讯啥时候会发一条指令过来。
所以还是直接改掉nvram的配置禁用该特性为妙。

—— 来自 OnePlus ONEPLUS A5000, Android 7.1.1上的 S1Next-鹅版 v1.2.1

u8j9ku8j9k

别人给了个K2 正在路上  现在刷啥固件比较好？

ryans233

u8j9ku8j9k 发表于 2017-7-30 18:35
别人给了个K2 正在路上  现在刷啥固件比较好？

恩山hiboyhiboyhiboy的padavan：http://www.right.com.cn/forum/thread-161324-1-1.html
或者abccba94的官改：http://www.right.com.cn/forum/thread-208753-1-1.html

丹羽长秀

暗夜明岚 发表于 2017-7-30 17:20
谢谢 现在还没有用的 到时候研究下 我记得 k2p 比k2 刷机麻烦

K2P更简单，工具网页MAC地址下一个对应自己的备份文件然后恢复备份开启SSH和telnet 然后直接telnet进去刷breed 重启以后就可以breed无限刷了

u8j9ku8j9k

ryans233 发表于 2017-7-30 20:00
恩山hiboyhiboyhiboy的padavan：http://www.right.com.cn/forum/thread-161324-1-1.html
或者abccba94的 ...

  感谢  回头到手就试试去