news.shamcode.ru | Статический анализ кода 32 000 прошивок

Статический анализ кода 32 000 прошивок

пятница, 15 августа 2014 г. в 03:11:08

002

Первый в истории масштабный анализ безопасности прошивок различных устройств провели исследователи из французской школы Eurecom. Специально настроенный веб-краулер скачал около 32 000 прошивок с официальных сайтов производителей Siemens, Xerox, Bosch, Philips, D-Link, Samsung, LG, Belkin и многих других. Встроенный софт предназначен для управления разными приборами: подключенные к интернету камеры наблюдения, телевизоры, холодильники и другие бытовые приборы, маршрутизаторы и сетевое оборудование, медицинские приборы, автомобили и т.д.

Известно, что именно во встроенных программах для «некомпьютерных» приборов чаще всего встречаются проблемы с информационной безопасностью. Этот факт полностью подтвердился. Как и следовало ожидать, в результате статичного анализа кода выявлено огромное количество недоделок, багов и уязвимостей. К примеру, в одном случае свежая прошивка для коммерческого устройства основана на ядре Linux 10-летней давности!

Выявлен 41 случай использования самоподписанных цифровых сертификатов с указанием секретного ключа шифрования RSA. Ещё в 326 случаях обнаружены признаки бэкдоров. Удалось найти 38 ранее неизвестных уязвимостей (0day) в 693 прошивках. Эти firmware работают в 123 разных продуктах. При этом как минимум 140 000 таких устройств подключены к интернету.

Ситуация совершенно объяснима. Потребительские устройства разрабатываются без прицела на безопасность. В самом деле, кому нужно взламывать ваш холодильник? Главное, обеспечить максимально быструю и дешёвую разработку, и чтобы прибор работал как положено.

Правда, возможность воспользоваться бэкдором через интернет и отключить камеры наружного наблюдения в определённый момент — это уже опаснее, чем отключить свет в холодильнике. А такие бэкдоры обнаружены в 44 моделях видеокамер разных производителей, которые использовали один и тот же сетевой чип.

Результаты исследования представят на следующей неделе на 23-м симпозиуме Usenix Security. Остаётся надеяться, что список уязвимостей и названия продуктов исследователи опубликуют в открытом доступе.