Eurecom:研究显示嵌入式设备多存在高危安全漏洞

来源: | 发布时间:2021-05-23 21:26

法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员发现,路由器、DSL调制解调器、网络电话等嵌入式设备存在高风险的安全缺陷,厂商并未在这些设备上市前对安全性进行全面测试。


研究显示嵌入式设备多存在高危安全漏洞(图片来自PC World)

研究人员开发了一个能对固件镜像文件解压缩、在模拟环境中运行固件和启动嵌入式Web服务器的自动平台。通过对来自54家厂商的1925款嵌入式设备进行研究,他们只在1925个基于Linux的固件镜像文件中成功启动了246个固件。

在测试中,研究人员把Web界面代码分离出来,并在一个通用服务器上运行这些代码,在不模拟真实固件环境的情况下检测缺陷。这一测试存在不足之处,但成功对515个固件镜像文件进行了测试,并发现其中的307个存在缺陷。

研究人员通过静态和动态分析,在185个固件镜像文件的基于Web的管理界面中发现重要的安全缺陷,例如命令执行、SQL injection和跨站脚本攻击,涉及54家厂商中约四分之一厂商的设备。

他们认为,通过对他们的平台进行调整,这一数字还会增加。研究人员还利用另外一款开放源代码工具,对从设备固件镜像文件中提取的PHP代码进行了静态分析,在其中的145个固件镜像文件中发现9046个安全缺陷。

据了解,研究人员致力于开发一种可靠的方法,在不“接触”相应物理设备的情况下,自动对固件镜像文件进行测试,而非对固件中的缺陷进行完全扫描。他们没有人工对代码进行分析,也没有使用各种各样的扫描工具对高级逻辑缺陷进行分析。

这意味着他们发现的都是最容易被发现的问题,都是在任何标准化的安全测试中应当很容易被发现的缺陷。



本文永久链接:http://www.25308.cn/d/detail/15548444.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;
3.作者投稿可能会经我们编辑修改或补充。