据PCWorld网站报导,对数百个可以公开发表取得的路由器、DSL调制解调器、网络电话、网络摄像头和其他映射设备的固件镜像文件展开的分析找到,其中许多固件都不存在高风险的安全性缺失,这指出厂商没对产品的安全性展开充份测试。 这项研究是由法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员展开的。他们研发了一个能对固件镜像文件解压缩、在仿真环境中运行固件和启动嵌入式Web服务器的自动平台。 研究人员对来自54家厂商的嵌入式设备的1925款基于Linux的固件镜像文件展开了研究,但只顺利地启动了其中246个固件的Web服务器。
他们指出,通过对他们的平台展开调整,这一数字还不会减少。他们的目标,是利用对外开放源代码渗入测试工具,对固件中基于Web的管理界面展开动态缺失分析。结果研究人员在46个分析的固件镜像文件中找到225个高危安全性缺失。 PCWorld回应,在测试中,研究人员把Web界面代码分离出来,并在一个标准化服务器上运营这些代码,在不仿真现实固件环境的情况下检测缺失。
这一测试不存在不足之处,但顺利对515个固件镜像文件展开了测试,并找到其中的307个不存在缺失。 研究人员还利用另外一款对外开放源代码工具,对从设备固件镜像文件中萃取的PHP代码展开了静态分析,在其中的145个固件镜像文件中找到9046个安全性缺失。研究人员通过静态和动态分析,在185个固件镜像文件的基于Web的管理界面中找到最重要的安全性缺失,例如命令继续执行、SQL injection和跨站脚本反击,牵涉到54家厂商中约四分之一厂商的设备。
PCWorld称之为,研究人员致力于研发一种可信的方法,在不认识适当物理设备的情况下,自动对固件镜像文件展开测试,而非对固件中的缺失展开几乎扫瞄。他们没人工对代码展开分析,也没用于各种各样的扫瞄工具对高级逻辑缺失展开分析。 这意味著他们找到的都是最更容易被找到的问题,都是在任何标准化的安全性测试中应该很更容易被找到的缺失。
这就引起了一个问题:涉及厂商为什么没找到和修正这些缺失? 参予这项研究的研究人员安德烈科斯廷(Andrei Costin)回应,情况或许是这样的:涉及厂商要么没对代码展开安全性测试,要么测试工作非常马虎。 科斯廷当地时间上周四在布加勒斯特举行的DefCamp安全性会议上阐释了其团队的研究成果。
这是对固件镜像文件展开的第二次大规模测试,去年,参予这项研究的部分研究人员就研发了涉及方法,自动检测大量固件镜像文件中的后门和加密问题。 PCWorld认为,在他们的测试中,部分固件不是近期版本,因此他们找到的缺失并非全部是零日缺失之前没被找到、仍未修正的缺失。但是,这一研究的影响依然相当大,因为大多数用户很少对嵌入式设备的固件展开升级。
在DefCamp上,作为IoT Village的一部分,与会者应邀对4款物联网设备展开反击。与会者在一款智能视频门铃中找到2一处不妙缺失,黑客可以利用这2一处缺失几乎取得设备的控制权。这款门铃还能掌控智能门锁。
一款高端D-Link路由器的固件也不存在一处缺失。这一缺失早已被找到,并在新版固件中获得修正,但路由器没警告用户对固件展开改版。 与会者还在Mikrotik的一款路由器中找到一处危险性不高的缺失。
唯一维持金刚自在之身的一款设备是Nest Cam。 这些缺失的涉及信息未公开发表,因为IoT Village组织者不会首先向涉及厂商通报被找到的缺失,以便他们修正这些缺失。
本文来源:金年会金字招牌信誉至上-www.eue1.com
咨询电话:
扫一扫咨询微信客服