Andrei Costin (Eurecom), APOSTOLIS Partikel (Ruhr-University Bochum), Aurelien Francillon (Eurecom) geführt ein Forschungs tht enthüllt die Schwachstelle vieler COTS.
Eine vorherrschende Zahl der Zukunft Hacks, die uns erwarten beinhalten die Internet der Dinge.
Eine der Studien, von einer Gruppe von europäischen Wissenschaftlern durchgeführt, die auf das Internet der Dinge konzentriert, hat, dass die Web-Schnittstellen für die Benutzerverwaltung von kommerziellen verifiziert, Massenprodukt eingebettete Geräte wie Router, VoIP-Telefone, und IP / CCTV-Kameras, ziemlich anfällig für Angriffe.
Die Experten getestet eingebettete Firmware-Images und Web-Schnittstellen für bestehende Schwachstellen.
In ihrem Papier, betitelt "Automatisierte Dynamische Firmware-Analyse unter Waage: Eine Fallstudie über Embedded Web Interfaces ', die drei Forscher – Andrei Costin, Apostolis Zarras und Aurelien Francillon - präsentieren die erste vollautomatische Rahmen über dynamische Firmware-Analyse, um automatisierte Fehler Offenlegung erreichen innerhalb eingebettete Firmware-Images. Die Wissenschaftler haben auch Rahmen angewendet, um die Sicherheit von eingebetteten Web-Schnittstellen in Commercial Off-The-Shelf-Geräte zu erforschen (COTS) wie Router, DSL / Kabel-Modems, VoIP-Telefone, IP / CCTV-Kameras.
Einzigartige Rahmen Nicht Zuverlässig auf Vendor, Gerät oder Architektur
Eine neue Methode wurde von dem Expertenteam eingeführt, die nicht auf den Anbieter abhängt, Gerät oder Architektur. Deren Rahmen besteht aus Vollsystememulation die Ausführung von Firmware-Images in einer Software-Umgebung zu erreichen (einzubinden physikalische Embedded-Geräte, ohne dass).
Die Forscher wollen nicht physische Geräte von Benutzern gehören zu verwenden, da diese Praxis ethisch falsch angesehen werden würde und sogar illegal. Die Forscher analysierten auch die Web-Schnittstellen innerhalb der Firmware über statische und dynamische Tools. Was ist wichtig, über ihre Studie und ihre Methodik ist es in seiner Natur ist ziemlich einzigartig.
Einige Statistiken
Während der Fallstudie, 1925 Firmware-Images von 54 Anbieter wurden getestet und 9271 Schwachstellen wurden offenbart in 185 von ihnen. Ca. 8 Prozent der eingebetteten Firmware-Images enthalten PHP-Code in ihre Server-Seite, und hatte mindestens einen Fehler. Die Firmware-Bilder repräsentiert insgesamt 9046 sicherheitsbezogene Probleme wie:
- Cross-Site-Scripting;
- Datei-Manipulation;
- Befehlsinjektionsfehler.
Dynamic Security Testing Geschehen auf 246 Web-Interfaces
Hier sind die Ergebnisse:
- 21 Firmware-Pakete wurden in Anspruch genommen verletzlich Injektion zu befehlen.
- 32 wurden durch XSS Fehler angesehen.
- 37 waren anfällig für CSRF (Kreuz- Site Request Forgery) Anschläge.
Leider, wie das Forscherteam wies darauf hin,, eine weit verbreitete Zahl der Hersteller sind in der Investitions Zeit nicht daran interessiert, und bedeutet, dass ihre Geräte "Sicherheit bei der Verbesserung der. Dennoch, an einem gewissen Punkt, Anbieter müssen alle sicherheitsrelevanten Fragen in ihre Produkte konzentrieren sich auf. Mit dem Wachstum der Popularität des Internets der Dinge, böswillige Programmierer zielt sicherlich verwundbare Systeme und Geräte.
Die gute Nachricht ist, die Forscher nicht planen, ihre Verwundbarkeit Enthüllung Aktivitäten aufgeben:
"Wir planen, auch weiterhin neue Daten zu sammeln und erweitern unsere Analyse auf alle Firmware-Bilder, die wir in der Zukunft zugreifen können. Außerdem wollen wir unser System mit anspruchsvolleren dynamischen Analysetechniken zu erweitern, die eine tiefergehende Untersuchung der Schwachstellen innerhalb der einzelnen Firmware-Image zu ermöglichen. '
Referenzen
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: