检测表明:嵌入式设备大多存在高危安全缺陷

发布者:脑力风潮最新更新时间:2015-12-01 关键字:嵌入式设备  安全缺陷 手机看文章 扫描二维码
随时随地手机看文章
    据PCWorld网站报道,对数百个可以公开获得的路由器、DSL调制解调器、网络电话、网络摄像头和其他嵌入设备的固件镜像文件进行的分析发现,其中许多固件都存在高风险的安全缺陷,这表明厂商没有对产品的安全性进行充分测试。

这项研究是由法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员进行的。他们开发了一个能对固件镜像文件解压缩、在模拟环境中运行固件和启动嵌入式Web服务器的自动平台。

研究人员对来自54家厂商的嵌入式设备的1925款基于Linux的固件镜像文件进行了研究,但只成功地启动了其中246个固件的Web服务器。他们认为,通过对他们的平台进行调整,这一数字还会增加。

他们的目标,是利用开放源代码渗透测试工具,对固件中基于Web的管理界面进行动态缺陷分析。结果研究人员在46个分析的固件镜像文件中发现225个高危安全缺陷。

PCWorld表示,在测试中,研究人员把Web界面代码分离出来,并在一个通用服务器上运行这些代码,在不模拟真实固件环境的情况下检测缺陷。这一测试存在不足之处,但成功对515个固件镜像文件进行了测试,并发现其中的307个存在缺陷。

研究人员还利用另外一款开放源代码工具,对从设备固件镜像文件中提取的PHP代码进行了静态分析,在其中的145个固件镜像文件中发现9046个安全缺陷。

研究人员通过静态和动态分析,在185个固件镜像文件的基于Web的管理界面中发现重要的安全缺陷,例如命令执行、SQL injection和跨站脚本攻击,涉及54家厂商中约四分之一厂商的设备。

PCWorld称,研究人员致力于开发一种可靠的方法,在不“接触”相应物理设备的情况下,自动对固件镜像文件进行测试,而非对固件中的缺陷进行完全扫描。他们没有人工对代码进行分析,也没有使用各种各样的扫描工具对高级逻辑缺陷进行分析。

这意味着他们发现的都是最容易被发现的问题,都是在任何标准化的安全测试中应当很容易被发现的缺陷。这就引发了一个问题:相关厂商为什么没有发现和修正这些缺陷?

参与这项研究的研究人员安德烈·科斯廷(Andrei Costin)表示,情况似乎是这样的:相关厂商要么没有对代码进行安全测试,要么测试工作相当马虎。

科斯廷当地时间上周四在布加勒斯特举办的DefCamp安全会议上阐述了其团队的研究成果。这是对固件镜像文件进行的第二次大规模测试,去年,参与这项研究的部分研究人员就开发了相关方法,自动检测大量固件镜像文件中的后门和加密问题。

PCWorld指出,在他们的测试中,部分固件不是最新版本,因此他们发现的缺陷并非全部是零日缺陷——之前没有被发现、尚未修正的缺陷。但是,这一研究的影响仍然相当大,因为大多数用户很少对嵌入式设备的固件进行升级。

在DefCamp上,作为IoT Village的一部分,与会者受邀对4款物联网设备进行攻击。与会者在一款智能视频门铃中发现2处危急缺陷,黑客可以利用这2处缺陷完全获得设备的控制权。这款门铃还能控制智能门锁。

一款高端D-Link路由器的固件也存在一处缺陷。这一缺陷已经被发现,并在新版固件中得到修正,但路由器没有提醒用户对固件进行更新。

与会者还在Mikrotik的一款路由器中发现一处危险性不高的缺陷。唯一保持金刚不坏之身的一款设备是Nest Cam。

这些缺陷的相关信息并未公开,因为IoT Village组织者会首先向相关厂商通报被发现的缺陷,以便他们修正这些缺陷。

关键字:嵌入式设备  安全缺陷 引用地址:检测表明:嵌入式设备大多存在高危安全缺陷

上一篇:中国突破石墨烯技术 可秒充电池造超级装甲
下一篇:两权威机构报告彰显2016年IT行业五大发展趋势

推荐阅读最新更新时间:2024-03-16 11:17

研华推出SusiAccess--远程监控嵌入式设备的智能方案
自2004年以来,研华一直在开发SUSI API系列软件,以创建适用于嵌入式应用的方便的管理解决方案。继2009年推出eSOS原创安全工具(一种可在主OS启动失败时启动系统的小型嵌入式OS)后,研华又将于2011年第二季度推出采用最新云计算概念的SUSUAccess软件。现在,由于大多嵌入式设备都是互联的,系统集成者可以使用远程访问解决方案来管理或恢复远程嵌入式设备。这种新版本软件正可以使用户远程控制、配置和管理多终端设备和数据,并提供系统维护、备份和恢复。这种适用于嵌入式设备的新型智能远程访问解决方案使用户能够更好地控制其设备,而不用考虑其硬件产品规格。 SUSI(安全& 统一智能接口)的主要目的在于提供一种工具箱,使
[工业控制]
研华推出SusiAccess--远程监控<font color='red'>嵌入式设备</font>的智能方案
基于WinCE5.0的嵌入式设备休眠唤醒技术研究
嵌入式系统应用中降低设备功耗以提高续航能力是其设计的热点。在休眠状态,系统处于最低 电流 消耗状态,同时仍维持存储区中的内容,为了减少能量消耗和延长电池寿命,需要让处理器定期进入或退出休眠模式。Windows CE 作为一个广泛应用于嵌入式设备上的操作系统,提供了完善的 电源管理 功能。其中,休眠唤醒便是一个重要的功能。本文在结合S3C2440硬件基础上分析休眠唤醒过程,分别采用外部中断唤醒和RTC中断唤醒两种方法实现了休眠唤醒,并给出了具体实现代码。根据相应唤醒需求,将这两种方法应用于北京化工大学诊断与自愈工程研究中心的一款基于S3C2440和WindowsCE 5.0的嵌入式智能巡检分析诊断仪,结果表明能准确达到实际的设置要求
[电源管理]
基于WinCE5.0的<font color='red'>嵌入式设备</font>休眠唤醒技术研究
小广播
添点儿料...
无论热点新闻、行业分析、技术干货……
最新安防电子文章
换一换 更多 相关热搜器件

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

词云: 1 2 3 4 5 6 7 8 9 10

北京市海淀区中关村大街18号B座15层1530室 电话:(010)82350740 邮编:100190

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved