Bishop FoxLabsのセキュリティ研究者であるDanPetroとAllanCecilは、最近、IoTの基盤におけるRNGの脆弱性に関する調査結果を共有しました。 (モノのインターネット) 安全. 重大な欠陥は、ハードウェア番号ジェネレータにあります (RNG) 影響します 35 世界中で10億台のデバイス.
"基本的, ハードウェア乱数ジェネレーターを備えたすべてのIoTデバイス (RNG) 乱数を適切に生成できないという深刻な脆弱性が含まれています, これは、アップストリームでの使用のセキュリティを損ないます,」研究者の報告によると.
RNGの脆弱性の中心にあるのは、乱数を適切に生成できないことです。, したがって、IoTデバイスを破壊します’ セキュリティと攻撃への暴露.
RNGとは, または乱数ジェネレータ?
RNGは、コンピューターが実行するほとんどのセキュリティ関連の操作に必要です。. これらの生成物は、暗号化の基礎を形成するいわゆる「秘密」を作成します, アクセス制御, 認証, 等. これらがどのように生成されるかは、最終目標によって異なります. でも, 正規の例は、暗号化キーの生成です。. "実際には, 多くの場合, デバイスはの暗号化キーを選択しています 0 またはさらに悪い. これにより、アップストリームで使用する場合のセキュリティが壊滅的に崩壊する可能性があります,」レポートノート.
IoTデバイスのRNG脆弱性のコアは何ですか?
どうやら, 現在 2021, ほとんどの新しいIoTシステムオンチップ, 略してSoCとして知られています, この問題を解決するために設計された専用のハードウェアRNG周辺機器が含まれています. でも, それを解決することは非常に複雑です, そしてそれが判明したように, 現在のIoT標準は、「間違っている」と表現できます。
開発者がエラーコードの応答を確認できない場合、最大の危険の1つが発生します, その結果、セキュリティ関連の使用に必要な数よりもランダムでない数になります.
IoTデバイスに乱数が必要な場合, デバイスのSDKを介して、またはIoTオペレーティングシステムを介して専用ハードウェアRNGを呼び出します。. 関数呼び出しの名前はさまざまです, もちろん, しかし、それはハードウェア抽象化レイヤーで行われます (HAL).
これらは、ハードウェアアブストラクションレイヤーの最も重要な部分です。 (HAL):
- out_numberという出力パラメータ. これは、関数が乱数を配置する場所です; 符号なし32ビット整数へのポインタです.
- エラーケースを指定するための戻り値. デバイスによって異なります, ブール値または任意の数の列挙されたエラー条件である可能性があります.
RNGHAL関数のエラーコードをチェックする人はほとんどいません. ハードウェアによって異なります, これにより、次のいずれかの問題が発生する可能性があります: エントロピーが不足しています, 数字 0, および初期化されていないメモリ.
例えば, 「乱数がないときにRNGHAL関数を呼び出そうとすると、, 失敗してエラーコードを返します. したがって, デバイスがあまりにも多くの乱数をすばやく取得しようとした場合, 呼び出しは失敗し始めます,」ペトロとセシルは言う.
RNGの脆弱性に対する解決策は何ですか?
2つの利用可能な解決策–プロセス全体の中止と強制終了以降, およびHAL機能の回転ループ–受け入れられません, 開発者はエラー状態を完全に無視する傾向があります.
RNGの脆弱性がIoTデバイスにのみ固有なのはなぜですか, ラップトップやサーバーではありません?
この問題はIoTの世界に固有のものです, 低レベルのデバイス管理は通常、ランダム性APIが付属するOSによって処理されるため.
レポートは、CSPRNGサブシステムに関連するより大きなエントロピープールの利点にも光を当てます (連続的にシードされた疑似乱数ジェネレータ) これにより、「エントロピーソース間の単一障害点」が削除されます。
完全な技術的開示は、元のレポートで利用可能です, 「あなたはIoTRNGを行っています」.
昨年6月, 深刻な脆弱性, CVE-2020-12695アドバイザリで知られています, ほぼすべてのIoTデバイスのコアプロトコルで発見されました–ユニバーサルプラグアンドプレイ (UPnP) プロトコル. 欠陥, 吹き替え CallStranger, 攻撃者がDDoS攻撃でIoTデバイスを乗っ取る可能性があります. このバグは他の種類の攻撃で悪用される可能性があります, セキュリティソリューションがバイパスされ、内部ネットワークに到達する場所.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: