据外媒报道,法国研究中心和德国波鸿鲁尔大学的研究人员发现,路由器、DSL调制解调器、网络电话等嵌入式设备存在高危安全漏洞。做一个完整的测试。
研究人员开发了一个自动化平台嵌入式linux启动过程,可以解压固件映像文件,在模拟环境中运行固件,并启动嵌入式 Web 服务器。通过对来自 54 家制造商的 1925 款嵌入式设备的研究,他们在 1925 个基于 Linux 的固件映像中仅成功启动了 246 个固件。
在测试中,研究人员隔离了 Web 界面代码并在通用服务器上运行它以检测缺陷,而无需模拟真实的固件环境。该测试存在缺陷,但成功测试了 515 个固件映像文件,发现其中 307 个存在缺陷。
通过静态和动态分析,研究人员在 185 个固件映像文件的基于 Web 的管理界面中发现了关键的安全漏洞,例如命令执行和跨站点脚本攻击,涉及来自大约 54 个供应商的四分之一的设备。
他们相信这个数字会随着平台的调整而增加。研究人员还使用另一个开源工具静态分析从设备固件映像中提取的 PHP 代码,并在 145 个固件映像中发现了 9,046 个安全漏洞。
据了解,研究人员正在努力开发一种可靠的方法来自动测试固件映像文件,而无需“触摸”相应的物理设备,而不是全面扫描固件中的缺陷。他们没有手动分析代码,也没有使用各种扫描工具来检测高级逻辑缺陷。
这意味着他们正在寻找最容易找到的问题嵌入式linux启动过程,在任何标准化安全测试中都应该很容易找到的错误。
文章来源:http://tech.163.com/15/1201/05/B9NPUH2D000915BD.html?f=jsearch
感谢您的来访,获取更多精彩文章请收藏本站。
© 版权声明
THE END