根據(jù)研究人員對基本類型軟件(被稱為固件)的第一次大規(guī)模分析表明，糟糕的安全做法可能會(huì)給攻擊者攻擊“物聯(lián)網(wǎng)”提供機(jī)會(huì)。

固件是管理高層次軟件和底層硬件之間交互的一種軟件，有時(shí)候它可能是設(shè)備中唯一的軟件。在所有類型的計(jì)算機(jī)硬件中都有固件，不過，這個(gè)研究主要專注于嵌入式系統(tǒng)，例如打印機(jī)、路由器和安全攝像機(jī)。

研究人員和法國一所以技術(shù)為重點(diǎn)的研究所學(xué)校Eurecom合作開發(fā)了一個(gè)網(wǎng)絡(luò)爬蟲，從很多制造商的網(wǎng)站中獲取了超過3萬張固件映像，這些制造商包括西門子、施樂、Bosch、飛利浦、D-Link、三星、LG和Belkin等。

他們發(fā)現(xiàn)了很多安全問題，包括糟糕的加密機(jī)制和后門程序，這些都可能會(huì)給攻擊者提供攻擊的機(jī)會(huì)。他們發(fā)現(xiàn)了38個(gè)漏洞，而在123個(gè)產(chǎn)品(甚至更多)都包含了其中的一些漏洞，他們已經(jīng)將這些漏洞報(bào)告給了供應(yīng)商。

他們將在圣地亞哥舉行的第23屆Usenix安全專題討論會(huì)上介紹他們的研究結(jié)果。

該研究的共同作者兼Eurecom大學(xué)網(wǎng)絡(luò)和安全學(xué)院助理教授Aurélien Francillon[cq]表示，他們所分析的大多數(shù)固件都是在消費(fèi)類設(shè)備中，這是競爭非常激烈的領(lǐng)域，企業(yè)經(jīng)常會(huì)迅速發(fā)布產(chǎn)品來領(lǐng)先于其對手。

“你必須保持快速和價(jià)格便宜，”Francillon在接受電話采訪時(shí)表示，“如果你想要安全的設(shè)備，那么你需要想方設(shè)法地避免我們所發(fā)現(xiàn)的這些漏洞。”

固件安全做法遠(yuǎn)遠(yuǎn)落后于電腦軟件市場，在電腦軟件市場中像這樣的微軟供應(yīng)商在經(jīng)歷了慘痛的教訓(xùn)之后才了意識(shí)他們需要定期地頻繁地自動(dòng)修復(fù)軟件。

而對于固件，并不總是這樣，固件可能被設(shè)計(jì)為定期打補(bǔ)丁，同時(shí)非常依賴于第三方軟件，但這些軟件可能不是最新版本。在一個(gè)實(shí)例中，研究人員發(fā)現(xiàn)在最新發(fā)布的固件映像中捆綁著10年前的Linux內(nèi)核。Francillon表示：“這真是一個(gè)噩夢。”

固件的陰暗世界有時(shí)候讓人很難搞清楚究竟哪些設(shè)備可能會(huì)受到影響。制造商通常依賴于各行業(yè)廣泛使用的工具和開發(fā)工具包，也就是說，存在漏洞的固件可能出現(xiàn)在各種不同品牌的產(chǎn)品中。

研究人員表示，有些設(shè)備可能受到已知漏洞的影響，即使已經(jīng)有可用的更新固件。

他們還發(fā)現(xiàn)固件映像以不用的方式部署數(shù)字證書來實(shí)現(xiàn)加密過程中的問題。他們發(fā)現(xiàn)固件中有41個(gè)數(shù)字證書是自我簽名的，并包含一個(gè)私有RSA密鑰，大約35000臺(tái)聯(lián)網(wǎng)設(shè)備在使用這些不安全的證書。

“后門程序”，或者說植入到固件的代碼中訪問設(shè)備的方式，也不能幸免。這是一個(gè)很差的安全做法，但是開發(fā)人員往往忘記刪除后門程序就發(fā)布了代碼，或者低估了攻擊者找到這些后門程序的能力。

研究人員搜索了可能表明后門程序存在的固件映像，他們發(fā)現(xiàn)了326個(gè)。

他們發(fā)現(xiàn)，其中一個(gè)后門程序位于某個(gè)基于Linux的固件中，它可能會(huì)允許攻擊者控制家庭自動(dòng)化設(shè)備，并可能遠(yuǎn)程關(guān)閉別人家里的燈光。

有趣的是，他們隨后在另一家供應(yīng)商的44個(gè)閉路電視攝像頭中發(fā)現(xiàn)了這個(gè)完全相同的后門程序，以及來自不愿透露姓名的主要網(wǎng)絡(luò)設(shè)備供應(yīng)商的家用路由器。但事實(shí)證明問題并不是這些供應(yīng)商的錯(cuò)。

事實(shí)上，所有這些設(shè)備都是用了來自另一個(gè)制造商的網(wǎng)絡(luò)芯片，而這家制造商顯然將這個(gè)后門程序留在固件中用于調(diào)試目的。他們并不知道這個(gè)芯片供應(yīng)商是誰，但他們計(jì)劃收購一些設(shè)備，并做更多的研究。

這項(xiàng)研究的作者還包括Andrei Costin[cq]、Jonas Zaddach[cq]和Davide Balzarotti[cq]，他們都是Eurecom大學(xué)的。(鄒錚編譯)