研究显示嵌入式设备多存在高危安全漏洞
作者:touchpanel时间:2015-12-01 来源: 中关村在线
北京时间12月01日消息,中国触摸屏网讯,据外媒PC World报道,法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员发现,路由器、DSL调制解调器、网络电话等嵌入式设备存在高风险的安全缺陷,厂商并未在这些设备上市前对安全性进行全面测试。
本文来自:http://www.51touch.com/fixture/news/2015/1201/39290.html
研究人员开发了一个能对固件镜像文件解压缩、在模拟环境中运行固件和启动嵌入式Web服务器的自动平台。通过对来自54家厂商的1925款嵌入式设备进行研究,他们只在1925个基于Linux的固件镜像文件中成功启动了246个固件。
在测试中,研究人员把Web界面代码分离出来,并在一个通用服务器上运行这些代码,在不模拟真实固件环境的情况下检测缺陷。这一测试存在不足之处,但成功对515个固件镜像文件进行了测试,并发现其中的307个存在缺陷。
研究人员通过静态和动态分析,在185个固件镜像文件的基于Web的管理界面中发现重要的安全缺陷,例如命令执行、SQL injection和跨站脚本攻击,涉及54家厂商中约四分之一厂商的设备。
他们认为,通过对他们的平台进行调整,这一数字还会增加。研究人员还利用另外一款开放源代码工具,对从设备固件镜像文件中提取的PHP代码进行了静态分析,在其中的145个固件镜像文件中发现9046个安全缺陷。
据了解,研究人员致力于开发一种可靠的方法,在不“接触”相应物理设备的情况下,自动对固件镜像文件进行测试,而非对固件中的缺陷进行完全扫描。他们没有人工对代码进行分析,也没有使用各种各样的扫描工具对高级逻辑缺陷进行分析。
这意味着他们发现的都是最容易被发现的问题,都是在任何标准化的安全测试中应当很容易被发现的缺陷。
触摸屏与OLED网推出微信公共平台,每日一条微信新闻,涵盖触摸屏材料、触摸屏设备、触控面板行业主要资讯,第一时间了解触摸屏行业发展动态。关注办法:微信公众号“i51touch” 或微信中扫描下面二维码关注,或这里查看详细步骤