新式后门——Bugdoor（暂译名：恶意漏洞）

AlphaRabbit

Bugdoor是一个起源自2020年的新词，这个词描述的是这么一种场景：

软件开发者 / 软件供应商，故意的在产品中引入安全漏洞，从而实现“后门”的效果。

Bugdoor特别隐蔽且“开发者友好”，在这种情况下，软件开发者可以简单的声称“这不过是意外引入的漏洞而已”。

“你可以说我没有证据，但这就是Bugdoor的好处——我永远不可能有证据指明你的罪行”——某个人对Bugdoor的评价。

而我讲个科幻小说一些的“友好形容”就是：

你是一个人造人，你的制造者在设计时给你引入了一个错误——当你接触到大剂量维生素C（例如被人喷了浓缩柠檬水），你就会自我溶解（维生素C过敏）。

最早这个词起源于这里：https://news.ycombinator.com/item?id=24059410

https://blog.cmpxchg8b.com/2020/07/you-dont-need-reproducible-builds.html


而现实中也有典型的Bugdoor案例，Intel ME（Intel CPU的底层“控制器”，具体可以去搜索引擎查找相关资料）。方便懒人：https://www.secrss.com/articles/3705



而Intel ME的Bugdoor实现比较的简单粗暴：

2018年6月，俄罗斯的安全研究者也在对IDLM代码模块分析发现了一些奇怪的现象，Intel对于一些ME的代码模块的安全性非常高，但对于IDLM这种高风险的代码模块却“不作为”，俄罗斯的安全研究人员认为不排除是Intel故意而为之，在ME相关的代码模块上都有不少

嗯，就是这些。