002

Первый в истории масштабный анализ безопасности прошивок различных устройств провели исследователи из французской школы Eurecom. Специально настроенный веб-краулер скачал около 32 000 прошивок с официальных сайтов производителей Siemens, Xerox, Bosch, Philips, D-Link, Samsung, LG, Belkin и многих других. Встроенный софт предназначен для управления разными приборами: подключенные к интернету камеры наблюдения, телевизоры, холодильники и другие бытовые приборы, маршрутизаторы и сетевое оборудование, медицинские приборы, автомобили и т.д.

Известно, что именно во встроенных программах для «некомпьютерных» приборов чаще всего встречаются проблемы с информационной безопасностью. Этот факт полностью подтвердился. Как и следовало ожидать, в результате статичного анализа кода выявлено огромное количество недоделок, багов и уязвимостей. К примеру, в одном случае свежая прошивка для коммерческого устройства основана на ядре Linux 10-летней давности!

Выявлен 41 случай использования самоподписанных цифровых сертификатов с указанием секретного ключа шифрования RSA. Ещё в 326 случаях обнаружены признаки бэкдоров. Удалось найти 38 ранее неизвестных уязвимостей (0day) в 693 прошивках. Эти firmware работают в 123 разных продуктах. При этом как минимум 140 000 таких устройств подключены к интернету.

Ситуация совершенно объяснима. Потребительские устройства разрабатываются без прицела на безопасность. В самом деле, кому нужно взламывать ваш холодильник? Главное, обеспечить максимально быструю и дешёвую разработку, и чтобы прибор работал как положено.

Правда, возможность воспользоваться бэкдором через интернет и отключить камеры наружного наблюдения в определённый момент — это уже опаснее, чем отключить свет в холодильнике. А такие бэкдоры обнаружены в 44 моделях видеокамер разных производителей, которые использовали один и тот же сетевой чип.

Результаты исследования представят на следующей неделе на 23-м симпозиуме Usenix Security. Остаётся надеяться, что список уязвимостей и названия продуктов исследователи опубликуют в открытом доступе.



3 комментария

  1. 14.08.2014 at 09:08

    Ну это лишь означает что нас ждет интересное
    будущее! Представьте, оружие которое
    отключает все холодильники некой страны
    или вообще выводит из строя 90 % гаджетов.
    При всем при этом без пыли и шума(с). Это
    похлеще атомной бомбы будет.

  2. 14.08.2014 at 12:01

    > Статический анализ код 32 000 прошивок
    Автор письмо этот текст проверяние своего написание?

Оставить мнение