服务热线:19690234648

站内公告:

诚信为本:市场永远在变,诚信永远不变。
“威尼斯app网址”检测表明:嵌入式设备大多存在高位安全缺陷

你的位置: 首页 > 路线推荐

“威尼斯app网址”检测表明:嵌入式设备大多存在高位安全缺陷

2021-11-05  点击量:

本文摘要:据PCWorld网站报导,对数百个可以公开发表取得的路由器、DSL调制解调器、网络电话、网络摄像头和其他映射设备的固件镜像文件展开的分析找到,其中许多固件都不存在高风险的安全性缺失,这指出厂商没对产品的安全性展开充份测试。

据PCWorld网站报导,对数百个可以公开发表取得的路由器、DSL调制解调器、网络电话、网络摄像头和其他映射设备的固件镜像文件展开的分析找到,其中许多固件都不存在高风险的安全性缺失,这指出厂商没对产品的安全性展开充份测试。  这项研究是由法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员展开的。

威尼斯app网址

他们研发了一个能对固件镜像文件解压缩、在仿真环境中运行固件和启动嵌入式Web服务器的自动平台。  研究人员对来自54家厂商的嵌入式设备的1925款基于Linux的固件镜像文件展开了研究,但只顺利地启动了其中246个固件的Web服务器。他们指出,通过对他们的平台展开调整,这一数字还不会减少。

他们的目标,是利用对外开放源代码渗入测试工具,对固件中基于Web的管理界面展开动态缺失分析。结果研究人员在46个分析的固件镜像文件中找到225个高危安全性缺失。

威尼斯app

  PCWorld回应,在测试中,研究人员把Web界面代码分离出来,并在一个标准化服务器上运营这些代码,在不仿真现实固件环境的情况下检测缺失。这一测试不存在不足之处,但顺利对515个固件镜像文件展开了测试,并找到其中的307个不存在缺失。  研究人员还利用另外一款对外开放源代码工具,对从设备固件镜像文件中萃取的PHP代码展开了静态分析,在其中的145个固件镜像文件中找到9046个安全性缺失。研究人员通过静态和动态分析,在185个固件镜像文件的基于Web的管理界面中找到最重要的安全性缺失,例如命令继续执行、SQL injection和跨站脚本反击,牵涉到54家厂商中约四分之一厂商的设备。

  PCWorld称之为,研究人员致力于研发一种可信的方法,在不认识适当物理设备的情况下,自动对固件镜像文件展开测试,而非对固件中的缺失展开几乎扫瞄。他们没人工对代码展开分析,也没用于各种各样的扫瞄工具对高级逻辑缺失展开分析。

  这意味著他们找到的都是最更容易被找到的问题,都是在任何标准化的安全性测试中应该很更容易被找到的缺失。这就引起了一个问题:涉及厂商为什么没找到和修正这些缺失?  参予这项研究的研究人员安德烈科斯廷(Andrei Costin)回应,情况或许是这样的:涉及厂商要么没对代码展开安全性测试,要么测试工作非常马虎。

  科斯廷当地时间上周四在布加勒斯特举行的DefCamp安全性会议上阐释了其团队的研究成果。这是对固件镜像文件展开的第二次大规模测试,去年,参予这项研究的部分研究人员就研发了涉及方法,自动检测大量固件镜像文件中的后门和加密问题。  PCWorld认为,在他们的测试中,部分固件不是近期版本,因此他们找到的缺失并非全部是零日缺失之前没被找到、仍未修正的缺失。

威尼斯app网址

但是,这一研究的影响依然相当大,因为大多数用户很少对嵌入式设备的固件展开升级。  在DefCamp上,作为IoT Village的一部分,与会者应邀对4款物联网设备展开反击。

与会者在一款智能视频门铃中找到2一处不妙缺失,黑客可以利用这2一处缺失几乎取得设备的控制权。这款门铃还能掌控智能门锁。  一款高端D-Link路由器的固件也不存在一处缺失。

这一缺失早已被找到,并在新版固件中获得修正,但路由器没警告用户对固件展开改版。  与会者还在Mikrotik的一款路由器中找到一处危险性不高的缺失。唯一维持金刚自在之身的一款设备是Nest Cam。  这些缺失的涉及信息未公开发表,因为IoT Village组织者不会首先向涉及厂商通报被找到的缺失,以便他们修正这些缺失。


本文关键词:威尼斯app,威尼斯app网址,威尼斯appapp

本文来源:威尼斯app-www.ryuli11.com

首页 |景点介绍 |客房展示 |景点新闻 |路线推荐 |农家院 |特色美食 |活动专题 |在线留言 |联系我们

19690234648

Copyright © 2003-2021 www.ryuli11.com. 威尼斯app科技 版权所有

地址:海南省海口市富民县展平大楼9862号电话:19690234648手机:19690234648

ICP备案编号:ICP备51373836号-5

微信扫一扫

微信扫一扫

>