检测表明:嵌入式设备大多存在高危安全缺陷

2015-12-01 19:33:57来源: 互联网
    据PCWorld网站报道,对数百个可以公开获得的路由器、DSL调制解调器、网络电话、网络摄像头和其他嵌入设备的固件镜像文件进行的分析发现,其中许多固件都存在高风险的安全缺陷,这表明厂商没有对产品的安全性进行充分测试。

这项研究是由法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员进行的。他们开发了一个能对固件镜像文件解压缩、在模拟环境中运行固件和启动嵌入式Web服务器的自动平台。

研究人员对来自54家厂商的嵌入式设备的1925款基于Linux的固件镜像文件进行了研究,但只成功地启动了其中246个固件的Web服务器。他们认为,通过对他们的平台进行调整,这一数字还会增加。

他们的目标,是利用开放源代码渗透测试工具,对固件中基于Web的管理界面进行动态缺陷分析。结果研究人员在46个分析的固件镜像文件中发现225个高危安全缺陷。

PCWorld表示,在测试中,研究人员把Web界面代码分离出来,并在一个通用服务器上运行这些代码,在不模拟真实固件环境的情况下检测缺陷。这一测试存在不足之处,但成功对515个固件镜像文件进行了测试,并发现其中的307个存在缺陷。

研究人员还利用另外一款开放源代码工具,对从设备固件镜像文件中提取的PHP代码进行了静态分析,在其中的145个固件镜像文件中发现9046个安全缺陷。

研究人员通过静态和动态分析,在185个固件镜像文件的基于Web的管理界面中发现重要的安全缺陷,例如命令执行、SQL injection和跨站脚本攻击,涉及54家厂商中约四分之一厂商的设备。

PCWorld称,研究人员致力于开发一种可靠的方法,在不“接触”相应物理设备的情况下,自动对固件镜像文件进行测试,而非对固件中的缺陷进行完全扫描。他们没有人工对代码进行分析,也没有使用各种各样的扫描工具对高级逻辑缺陷进行分析。

这意味着他们发现的都是最容易被发现的问题,都是在任何标准化的安全测试中应当很容易被发现的缺陷。这就引发了一个问题:相关厂商为什么没有发现和修正这些缺陷?

参与这项研究的研究人员安德烈·科斯廷(Andrei Costin)表示,情况似乎是这样的:相关厂商要么没有对代码进行安全测试,要么测试工作相当马虎。

科斯廷当地时间上周四在布加勒斯特举办的DefCamp安全会议上阐述了其团队的研究成果。这是对固件镜像文件进行的第二次大规模测试,去年,参与这项研究的部分研究人员就开发了相关方法,自动检测大量固件镜像文件中的后门和加密问题。

PCWorld指出,在他们的测试中,部分固件不是最新版本,因此他们发现的缺陷并非全部是零日缺陷——之前没有被发现、尚未修正的缺陷。但是,这一研究的影响仍然相当大,因为大多数用户很少对嵌入式设备的固件进行升级。

在DefCamp上,作为IoT Village的一部分,与会者受邀对4款物联网设备进行攻击。与会者在一款智能视频门铃中发现2处危急缺陷,黑客可以利用这2处缺陷完全获得设备的控制权。这款门铃还能控制智能门锁。

一款高端D-Link路由器的固件也存在一处缺陷。这一缺陷已经被发现,并在新版固件中得到修正,但路由器没有提醒用户对固件进行更新。

与会者还在Mikrotik的一款路由器中发现一处危险性不高的缺陷。唯一保持金刚不坏之身的一款设备是Nest Cam。

这些缺陷的相关信息并未公开,因为IoT Village组织者会首先向相关厂商通报被发现的缺陷,以便他们修正这些缺陷。

关键字:嵌入式设备  安全缺陷

编辑:鲁迪 引用地址:http://www.eeworld.com.cn/afdz/2015/1201/article_9095.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
嵌入式设备
安全缺陷

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved