研究顯示嵌入式設(shè)備多存在高危安全漏洞

責(zé)任編輯:jackye

作者:徐鵬

2015-12-01 09:15:35

摘自:中關(guān)村在線

據(jù)外媒PC World報(bào)道,法國Eurecom研究中心和德國波鴻-魯爾大學(xué)的研究人員發(fā)現(xiàn),路由器、DSL調(diào)制解調(diào)器、網(wǎng)絡(luò)電話等嵌入式設(shè)備存在高風(fēng)險(xiǎn)的安全缺陷,廠商并未在這些設(shè)備上市前對(duì)安全性進(jìn)行全面測試。

據(jù)外媒PC World報(bào)道,法國Eurecom研究中心和德國波鴻-魯爾大學(xué)的研究人員發(fā)現(xiàn),路由器、DSL調(diào)制解調(diào)器、網(wǎng)絡(luò)電話等嵌入式設(shè)備存在高風(fēng)險(xiǎn)的安全缺陷,廠商并未在這些設(shè)備上市前對(duì)安全性進(jìn)行全面測試。

研究顯示嵌入式設(shè)備多存在高危安全漏洞

研究人員開發(fā)了一個(gè)能對(duì)固件鏡像文件解壓縮、在模擬環(huán)境中運(yùn)行固件和啟動(dòng)嵌入式Web服務(wù)器的自動(dòng)平臺(tái)。通過對(duì)來自54家廠商的1925款嵌入式設(shè)備進(jìn)行研究,他們只在1925個(gè)基于Linux的固件鏡像文件中成功啟動(dòng)了246個(gè)固件。

在測試中,研究人員把Web界面代碼分離出來,并在一個(gè)通用服務(wù)器上運(yùn)行這些代碼,在不模擬真實(shí)固件環(huán)境的情況下檢測缺陷。這一測試存在不足之處,但成功對(duì)515個(gè)固件鏡像文件進(jìn)行了測試,并發(fā)現(xiàn)其中的307個(gè)存在缺陷。

研究人員通過靜態(tài)和動(dòng)態(tài)分析,在185個(gè)固件鏡像文件的基于Web的管理界面中發(fā)現(xiàn)重要的安全缺陷,例如命令執(zhí)行、SQL injection和跨站腳本攻擊,涉及54家廠商中約四分之一廠商的設(shè)備。

他們認(rèn)為,通過對(duì)他們的平臺(tái)進(jìn)行調(diào)整,這一數(shù)字還會(huì)增加。研究人員還利用另外一款開放源代碼工具,對(duì)從設(shè)備固件鏡像文件中提取的PHP代碼進(jìn)行了靜態(tài)分析,在其中的145個(gè)固件鏡像文件中發(fā)現(xiàn)9046個(gè)安全缺陷。

據(jù)了解,研究人員致力于開發(fā)一種可靠的方法,在不“接觸”相應(yīng)物理設(shè)備的情況下,自動(dòng)對(duì)固件鏡像文件進(jìn)行測試,而非對(duì)固件中的缺陷進(jìn)行完全掃描。他們沒有人工對(duì)代碼進(jìn)行分析,也沒有使用各種各樣的掃描工具對(duì)高級(jí)邏輯缺陷進(jìn)行分析。

這意味著他們發(fā)現(xiàn)的都是最容易被發(fā)現(xiàn)的問題,都是在任何標(biāo)準(zhǔn)化的安全測試中應(yīng)當(dāng)很容易被發(fā)現(xiàn)的缺陷。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)