研究表明嵌入式设备往往存在高危安全漏洞

据外媒PC World报道,法国Eurecom研究中心和德国波鸿鲁尔大学的研究人员发现,路由器、DSL调制解调器、网络电话等嵌入式设备存在高危安全漏洞,而制造商在这些设备被使用之前并没有做好准备。投放市场。 全面的安全测试。

研究显示嵌入式设备多存在高危安全漏洞

研究人员开发了一个自动化平台,可以解压缩固件映像文件、在模拟环境中运行固件并启动嵌入式 Web 服务器。 通过研究来自 54 个制造商的 1,925 个嵌入式设备,他们只成功推出了 1,925 个基于 Linux 的固件映像文件中的 246 个固件。

在测试中,研究人员隔离了 Web 界面代码,并在通用服务器上运行它来检测缺陷,而无需模拟真实的固件环境。 该测试存在缺陷,但成功测试了 515 个固件映像文件,发现其中 307 个存在缺陷。

通过静态和动态分析,研究人员发现185个固件镜像文件的基于Web的管理界面存在重要安全缺陷,例如命令执行、SQL注入和跨站脚本攻击,涉及54家供应商中的约四分之一。 的设备.

他们相信,通过调整平台,这个数字将会增加。 研究人员还使用另一个开源工具对从设备固件镜像文件中提取的 PHP 代码进行静态分析,在 145 个固件镜像文件中发现了 9046 个安全漏洞。

据了解,研究人员致力于开发一种可靠的方法来自动测试固件镜像文件,而无需“接触”相应的物理设备,而不是全面扫描固件中的缺陷。 他们没有手动分析代码,也没有使用各种扫描工具来分析高层逻辑缺陷。

这意味着他们找到最容易发现的问题,这些问题在任何标准化安全测试中都应该很容易发现。