海思半导体是全球领先的Fabless半导体和IC设计公司，致力于向包含视频监控、机顶盒、智能家庭等领域的全球设备商提供全面的联接和多媒体芯片解决方案。

视频监控设备漏洞响应可能涉及漏洞研究组织/个人、芯片供应商、组件供应商、设备商和最终用户等各利益相关方，需要清晰认识到供应链的复杂性，其中的任意一环都会引入漏洞，这也增大了漏洞响应的难度，协调式漏洞披露是解决这种场景下业界最佳实践。海思作为视频监控设备供应链中的重要一环，愿意联合产业链的利益相关人，通过协调的漏洞披露共同应对漏洞带来的网络安全风险，保护最终用户的利益。

海思关注到2020年2月4日部分媒体报道基于HiSilicon视频监控芯片的DVR/NVR设备中的疑似安全问题：通过设备上的9530/TCP端口开启telnet服务，并利用默认的口令登录，从而控制设备。海思第一时间对报告中提到的安全问题进行了调查并将我们的调查结果提供如下。

该漏洞并非由海思提供的芯片及SDK包引入

研究者并没有明示出具体的产品型号和厂商，根据这些产品是基于海思提供的芯片开发，而推断该漏洞是由海思芯片引入。

该文章中提到：通过9530/TCP端口启动设备上默认关闭的telnet服务，然后暴力破解设备固件的/etc/passwd文件获取到telnet登陆口令，登陆telnet获取到root shell，进而控制设备。

同时该文章中还提及的2013-2017年4个漏洞，经海思技术分析确认，所述的所有漏洞并不是由海思提供的芯片及SDK包引入。

华为已与研究者取得联系并进行相关技术澄清。研究者在其博客更新记录中进行了说明，不能将特定二进制文件中的问题归咎于海思。基于保护客户利益的目的，海思已经第一时间联系设备商处理。

海思芯片在整个设备中的逻辑示意如下：

上图中蓝色部分为海思提供。而绿色为开源代码，由海思作为参考代码提供给设备商，橙色部分由设备商进行交付。本次研究者中提到的PSK、认证管理等机制都属于橙色部分，由设备商交付。

海思通过HiSupport网站正式向签约客户发放SDK版本。SDK版本中参考代码（绿色部分）部分包含串口、telnet，JTAG等业界常用的开发调试接口，用于下游设备商二次开发过程中的调试，这也是业界芯片原厂的普遍实践。其中telnet是默认关闭的，也不存在默认用户口令；同时，海思会将“二次开发网络安全注意事项”文档随软件包提供给设备商。在文档中针对telnet等风险服务，强烈建议在产品的最终量产版本中将telnet等功能进行删除，并提供了删除方法。一直以来，华为（包括海思在内的全球关联公司）承诺绝不会在其产品中植入或允许他人植入后门。

对于文章中提到所测产品保留telnet功能的事实，海思作为视频监控设备供应链中的重要一环，愿意联合下游厂商和研究者，通过协同来应对漏洞带来的网络安全风险，保护最终用户的利益。

说明：华为使用海思视频监控芯片的设备均参照“二次开发网络安全注意事项”已经将telnet等风险服务进行删除，不存在文章中提及的安全漏洞。