据外媒PC World报道,法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员发现,路由器、DSL调制解调器、网络电话等嵌入式设备存在高风险的安全缺陷,厂商并未在这些设备上市前对安全性进行全面测试。
研究人员开发了一个能对固件镜像文件解压缩、在模拟环境中运行固件和启动嵌入式Web服务器的自动平台。通过对来自54家厂商的1925款嵌入式设备进行研究,他们只在1925个基于Linux的固件镜像文件中成功启动了246个固件。
在测试中,研究人员把Web界面代码分离出来,并在一个通用服务器上运行这些代码,在不模拟真实固件环境的情况下检测缺陷。这一测试存在不足之处,但成功对515个固件镜像文件进行了测试,并发现其中的307个存在缺陷。
研究人员通过静态和动态分析,在185个固件镜像文件的基于Web的管理界面中发现重要的安全缺陷,例如命令执行、SQL injection和跨站脚本攻击,涉及54家厂商中约四分之一厂商的设备。
他们认为,通过对他们的平台进行调整,这一数字还会增加。研究人员还利用另外一款开放源代码工具,对从设备固件镜像文件中提取的PHP代码进行了静态分析,在其中的145个固件镜像文件中发现9046个安全缺陷。
据了解,研究人员致力于开发一种可靠的方法,在不“接触”相应物理设备的情况下,自动对固件镜像文件进行测试,而非对固件中的缺陷进行完全扫描。他们没有人工对代码进行分析,也没有使用各种各样的扫描工具对高级逻辑缺陷进行分析。
这意味着他们发现的都是最容易被发现的问题,都是在任何标准化的安全测试中应当很容易被发现的缺陷。