百家乐在线【官网】

首页 > 新闻中心

检测表明:嵌入式设备大多存在高位安全缺陷|百家乐在线【官网】

发布时间:2020-10-08  作者:百家乐在线【官网】

据PCWorld网站报导,对数百个可以公开揭晓取得的路由器、DSL调制解调器、网络电话、网络摄像头和其他映射设备的固件镜像文件展开的分析找到,其中许多固件都不存在高风险的安全性缺失,这指出厂商没对产物的安全性展开充份测试。  这项研究是由法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员展开的。

百家乐在线【官网】

他们研发了一个能对固件镜像文件解压缩、在仿真情况中运行固件和启动嵌入式Web服务器的自动平台。  研究人员对来自54家厂商的嵌入式设备的1925款基于Linux的固件镜像文件展开了研究,但只顺利地启动了其中246个固件的Web服务器。

他们指出,通过对他们的平台展开调整,这一数字还不会淘汰。他们的目的,是使用对外开放源代码渗入测试工具,对固件中基于Web的治理界面展开动态缺失分析。

结果研究人员在46个分析的固件镜像文件中找到225个高危安全性缺失。  PCWorld回应,在测试中,研究人员把Web界面代码疏散出来,并在一个尺度化服务器上运营这些代码,在不仿真现实固件情况的情况下检测缺失。

这一测试不存在屡见不鲜之处,但顺利对515个固件镜像文件展开了测试,并找到其中的307个不存在缺失。  研究人员还使用另外一款对外开放源代码工具,对从设备固件镜像文件中萃取的PHP代码展开了静态分析,在其中的145个固件镜像文件中找到9046个安全性缺失。

研究人员通过静态和动态分析,在185个固件镜像文件的基于Web的治理界面中找到最重要的安全性缺失,例如下令络绎不绝执行、SQL injection和跨站剧本还击,牵涉到54家厂商中约四分之一厂商的设备。  PCWorld称之为,研究人员致力于研发一种可信的方法,在不认识适当物理设备的情况下,自动对固件镜像文件展开测试,而非对固件中的缺失展开险些扫瞄。

他们没人工对代码展开分析,也没用于种种各样的扫瞄工具对高级逻辑缺失展开分析。  这意味著他们找到的都是最更容易被找到的问题,都是在任何尺度化的安全性测试中应该很更容易被找到的缺失。

这就引起了一个问题:涉及厂商为什么没找到和修正这些缺失?  参予这项研究的研究人员安德烈科斯廷(Andrei Costin)回应,情况或许是这样的:涉及厂商要么没对代码展开安全性测试,要么测试事情极端马虎。  科斯廷当地时间上周四在布加勒斯特举行的DefCamp安全性聚会会议上阐释了其团队的研究结果。

这是对固件镜像文件展开的第二次大规模测试,去年,参予这项研究的部门研究人员就研发了涉及方法,自动检测大量固件镜像文件中的后门和加密问题。  PCWorld认为,在他们的测试中,部门固件不是近期版本,因此他们找到的缺失并非全部是零日缺失之前没被找到、仍未修正的缺失。

可是这一研究的影响依然相当大,因为大多数用户很少对嵌入式设备的固件展开升级。  在DefCamp上,作为IoT Village的一部门,与会者应邀对4款物联网设备展开还击。

与会者在一款智能视频门铃中找到2一处不妙缺失,黑客可以使用这2一处缺失险些取得设备的控制权。这款门铃还能掌控智能门锁。

  一款高端D-Link路由器的固件也不存在一处缺失。这一缺失早已被找到,并在新版固件中获得修正,但路由器没警告用户对固件展开改版。

  与会者还在Mikrotik的一款路由器中找到一处危险性不高的缺失。唯一维持金刚自在之身的一款设备是Nest Cam。

  这些缺失的涉及信息未公开揭晓,因为IoT Village组织者不会首先向涉及厂商通报被找到的缺失,以便他们修正这些缺失。。

本文来源:百家乐在线【官网】-www.katelyncarter.com

点击返回
下一篇:百家乐在线【官网】_青云QingCloud成功入围2018年“央采”名单 上一篇:百家乐在线【官网】-阿里云发布全国首个城市级ET工业大脑平台