固件安全风险
随着物联网的普及发展,出现越来趍多的设备。万物互联、设备多型多样,安全问题也随之不断地被暴露出来。
固件是物联网设备的核心部分,一但被攻击,将影响终端设备的正常使用,或设备被控制利用,或泄露用户隐私。通常固件面临的安全风险有:
1)系统安全:一般固件以Linux或RTOS作为底层操作系统。限于硬件性能,一般都未使用最新版本的操作系统、也很少进行安全加固,这些系统存在着大量的已知漏洞、以及像登录密码弱密码等风险。如物联网Mirai病毒攻击手段之一就是利用物联网设备的弱密码进行传播。
2)组件安全:同时固件中使用较多的开源组件,这些组件也存在已知漏洞,而且这些漏洞信息是公开的,同样给设备带来安全威胁。
3)应用安全:厂商在开发设备端应用程序时,可能会有密钥、密码、证书等敏感数据的使用,新增加的代码也可能存在漏洞,这些数据、代码的安全性同样影响设备的安全。
固件安全检测能力
阿里云IoT安全推出物联网固件的安全检测服务,您可以在产品开发过程中时使用,及时发现并修复风险、漏洞。您也可以对当前已发布产品的固件进行检测,了解掌握当前产品的安全风险所在,并参考修复建议及时修补。
阿里云IoT固件安全检测从CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全5个维度,通过插件化检测项分别对固件进行安全检测。
1)CVE漏洞
依托自建漏洞库,检测固件中使用的组件/软件信息及其存在的已知CVE漏洞。漏洞库服务当前支持NVD漏洞库和RedHat漏洞库等主流漏洞库,收录Debian、Ubuntu、CentOS等多个平台超过10000个组件/软件包,以及相应的CVE漏洞识别。
2)配置风险
检测固件系统中系统弱密码,远程管理工具使用及配置风险,非必要软件的使用等等。
3)密钥安全
检测固件中明文存储的私钥,所引用的证书的安全性。
4)敏感信息泄露
检测固件中泄露的敏感泄露,如代码泄露、SVN信息泄露、Git信息泄露、临时文件信息、备份文件泄露,配置文件中敏感数据明文存储等。
5)代码安全
检测固件中不安全库函数使用,已被破解或有风险的加密算法等。
使用方式
阿里云IoT固件安全检测控制台:http://fss.iot.aliyun.com/
您可以使用阿里云账号登录到IoT固件安全检测控制台,提交固件、获取检测报告。使用帮助请参考《IoT固件安全检测使用手册》
更多阿里云IoT安全产品及资讯,请访问阿里云-产品分类-物联网中“物联网安全”板块。
