002

Первый в истории масштабный анализ безопасности прошивок различных устройств провели исследователи из французской школы Eurecom. Специально настроенный веб-краулер скачал около 32 000 прошивок с официальных сайтов производителей Siemens, Xerox, Bosch, Philips, D-Link, Samsung, LG, Belkin и многих других. Встроенный софт предназначен для управления разными приборами: подключенные к интернету камеры наблюдения, телевизоры, холодильники и другие бытовые приборы, маршрутизаторы и сетевое оборудование, медицинские приборы, автомобили и т.д.

Известно, что именно во встроенных программах для «некомпьютерных» приборов чаще всего встречаются проблемы с информационной безопасностью. Этот факт полностью подтвердился. Как и следовало ожидать, в результате статичного анализа кода выявлено огромное количество недоделок, багов и уязвимостей. К примеру, в одном случае свежая прошивка для коммерческого устройства основана на ядре Linux 10-летней давности!

Выявлен 41 случай использования самоподписанных цифровых сертификатов с указанием секретного ключа шифрования RSA. Ещё в 326 случаях обнаружены признаки бэкдоров. Удалось найти 38 ранее неизвестных уязвимостей (0day) в 693 прошивках. Эти firmware работают в 123 разных продуктах. При этом как минимум 140 000 таких устройств подключены к интернету.

Ситуация совершенно объяснима. Потребительские устройства разрабатываются без прицела на безопасность. В самом деле, кому нужно взламывать ваш холодильник? Главное, обеспечить максимально быструю и дешёвую разработку, и чтобы прибор работал как положено.

Правда, возможность воспользоваться бэкдором через интернет и отключить камеры наружного наблюдения в определённый момент — это уже опаснее, чем отключить свет в холодильнике. А такие бэкдоры обнаружены в 44 моделях видеокамер разных производителей, которые использовали один и тот же сетевой чип.

Результаты исследования представят на следующей неделе на 23-м симпозиуме Usenix Security. Остаётся надеяться, что список уязвимостей и названия продуктов исследователи опубликуют в открытом доступе.

Подписаться
Уведомить о
3 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии