固件安全風險
随着物聯網的普及發展,出現越來趍多的裝置。萬物互聯、裝置多型多樣,安全問題也随之不斷地被暴露出來。
固件是物聯網裝置的核心部分,一但被攻擊,将影響終端裝置的正常使用,或裝置被控制利用,或洩露使用者隐私。通常固件面臨的安全風險有:
1)系統安全:一般固件以Linux或RTOS作為底層作業系統。限于硬體性能,一般都未使用最新版本的作業系統、也很少進行安全加強,這些系統存在着大量的已知漏洞、以及像登入密碼弱密碼等風險。如物聯網Mirai病毒攻擊手段之一就是利用物聯網裝置的弱密碼進行傳播。
2)元件安全:同時固件中使用較多的開源元件,這些元件也存在已知漏洞,而且這些漏洞資訊是公開的,同樣給裝置帶來安全威脅。
3)應用安全:廠商在開發裝置端應用程式時,可能會有密鑰、密碼、證書等敏感資料的使用,新增加的代碼也可能存在漏洞,這些資料、代碼的安全性同樣影響裝置的安全。
固件安全檢測能力
阿裡雲IoT安全推出物聯網固件的安全檢測服務,您可以在産品開發過程中時使用,及時發現并修複風險、漏洞。您也可以對目前已釋出産品的固件進行檢測,了解掌握目前産品的安全風險所在,并參考修複建議及時修補。
阿裡雲IoT固件安全檢測從CVE漏洞、配置風險、密鑰安全、敏感資訊洩露、代碼安全5個次元,通過插件化檢測項分别對固件進行安全檢測。
1)CVE漏洞
依托自建漏洞庫,檢測固件中使用的元件/軟體資訊及其存在的已知CVE漏洞。漏洞庫服務目前支援NVD漏洞庫和RedHat漏洞庫等主流漏洞庫,收錄Debian、Ubuntu、CentOS等多個平台超過10000個元件/軟體包,以及相應的CVE漏洞識别。
2)配置風險
檢測固件系統中系統弱密碼,遠端管理工具使用及配置風險,非必要軟體的使用等等。
3)密鑰安全
檢測固件中明文存儲的私鑰,所引用的證書的安全性。
4)敏感資訊洩露
檢測固件中洩露的敏感洩露,如代碼洩露、SVN資訊洩露、Git資訊洩露、臨時檔案資訊、備份檔案洩露,配置檔案中敏感資料明文存儲等。
5)代碼安全
檢測固件中不安全庫函數使用,已被破解或有風險的加密算法等。
使用方式
阿裡雲IoT固件安全檢測控制台:
http://fss.iot.aliyun.com/您可以使用阿裡雲賬号登入到IoT固件安全檢測控制台,送出固件、擷取檢測報告。使用幫助請參考《IoT固件安全檢測使用手冊》
更多阿裡雲IoT安全産品及資訊,請通路阿裡雲-産品分類-物聯網中“物聯網安全”闆塊。
![最小化DevOps自動化流程(Golang)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)