流行的物聯網操作系統FreeRTOS中發現了13個主要漏洞

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

流行的物聯網操作系統FreeRTOS中發現瞭13個主要漏洞

物聯網(IoT)被譽為第四次工業革命的一個組成部分,將軟件和連接的力量轉移到物理世界。南寧區塊鏈開發南寧鴻業軟件認為,在我們遇到咖啡壺與我們的牙刷談話的「聰明」未來之前,我們需要記住這些連接的設備面臨重大的安全風險。

我們不斷收到粗魯的提醒,認為將大腦置於我們的物聯網設備中的軟件可能會在其代碼中隱藏著嚴重的漏洞,使他們容易被黑客利用。

南寧區塊鏈系統開發了解到互聯網安全公司Zimperium的研究人員宣布,他們團隊的一名成員已經確定了FreeRTOS開源項目中的13個漏洞,這是物聯網設備最受歡迎的操作系統之一。

該說的CVE研究員大利Karliner翻起了一些真正的doozies,包括漏洞可能導致遠程代碼執行,拒絕服務,信息泄露,和一個這是未定義。雖然這些漏洞尚未獲得CVSS評分,但可以安全地假設它們將處於頻譜的較高端。

根據他們的發布,Zimperium團隊已經聯繫了亞馬遜,後者負責維護FreeRTOS 開源項目,提醒他們注意漏洞,並與他們合作為可利用的組件生成補丁。

南寧直銷軟件開發南寧鴻業軟件發現由於需要提醒那些在其產品軟件中使用易受攻擊的FreeRTOS開源組件的利益相關者,研究人員已經預留了帶有MITRE和國家漏洞數據庫(NVD)的CVE,但是扣留了有關如何攜帶的詳細信息。據報導,30天內的攻擊事件使得黑客無法快速輕鬆地獲得工作。

雖然有關這一發現的消息並未獲得我們通常看到的大規模數據泄露的新聞類型,其中用戶數據已落入網路犯罪分子的手中,但這些漏洞應該讓我們站起來並密切關注我們如何保護我們的嵌入式設備。

物聯網的未來將建立在開源之上

即使您之前沒有聽說過FreeRTOS,因為它比Apache軟件基金會或開源領域的其他大公司的項目更少討論,很可能您使用的是使用這種廣受歡迎的操作系統的設備。

部分由於空間限制以及我們不需要全面操作系統功能的事實,物聯網設備使用更輕量級的操作系統,例如由AWS或Linux專門設計的物聯網操作系統支持的FreeRTOS。

開源在物聯網中的作用是,大多數生產設備的供應商都像開發軟件的任何其他組織一樣,他們希望使用高質量的現成組件來減少團隊所需的代碼量,生產以釋放功能性產品。開源組件允許他們為他們的應用程序添加強大的功能,否則他們必須自己編寫。

南寧軟件開發公司還了解到它還有一個額外的優勢,即開放源代碼組件可以在其許可證的限制範圍內免費使用,從而為這些硬件公司節省了大量成本,否則這些公司將不得不支付商業軟件產品的費用或更多的編碼時間。

對於在編寫軟件方面經驗和能力最低的公司而言,轉向開源軟件解決方案可以成為一個讓他們進入這個非常誘人的市場的福音。

但是,正如我們在披露這些漏洞時所看到的那樣,保持物聯網安全並不是在公園散步。

為什麼物聯網安全面臨不同的挑戰

我們經常忘記,使我們的設備變得聰明的是它們嵌入了連接到互聯網的小型計算機。正是這種連接使得設備和後端之間的通信流能夠收集數據並幫助用戶更有效地執行某些操作。這些設備本質上是我們在手機或網路上的應用程序的物理表現。

從安全角度來看,黑客可以像利用台式計算機這樣的傳統端點設備一樣攻擊設備。這意味著,通過正確的漏洞,他們可以接管,訪問數據,壓倒數據或執行其他類型的惡意活動。但是,與台式計算機不同,需要考慮一些關鍵差異。

首先,在Stuxtnet襲擊伊朗核計劃等汽車或工業設施中違反物聯網設備可能會產生一些非常現實的影響。正如我們在Equifax案例中看到的那樣,數據泄漏很糟糕,對公司來說可能會造成嚴重破壞。

離心控制失控,電網脫機,汽車無法破壞,以及無數其他現實世界的安全問題完全是另一回事,當我們考慮想要製作數字產品時,應該讓我們停下來。

在一個不那麼災難性的例子中,許多物聯網設備收集了大量關於我們的數據,這些數據非常敏感。我們可能不希望世界了解我們的健康,日程安排或其他習慣,而智能電視觀看您的想法可能會讓您感到非常不安。物聯網區塊鏈系統開發,區塊鏈直銷系統開發,南寧區塊鏈開發。

其次,物聯網設備及其軟件通常不能像筆記本電腦或移動設備那樣受到良好的網路攻擊保護。像蘋果,微軟和戴爾這樣的公司在學習如何讓他們的設備和軟件更難以破解方面擁有多年的經驗,比起試圖向你推銷智能烤麵包機的公司。

事實是,許多消費者不願意為他們購買的設備支付更好的安全性,而且供應商只是想降低成本。不幸的是,安全性很少是最重要的。

最後,確保對受影響的設備實施補丁或其他修復非常困難。因為有這麼多供應商使用相同的組件,單個漏洞的影響 – 更不用說13 – 可能是巨大的。如果首先可以進行這樣的處理,那麼修補這些設備的成本可能非常高。想像一下公司如何在起搏器中修復漏洞,這是一項艱巨的努力。

控制您的應用程序安全性

那麼你可以做些什麼來幫助你的設備軟件更難開發呢?

雖然您總是希望在整個軟件開發生命周期(SDLC)中保護您的產品,但理想情況下,您希望盡可能早地實施良好的安全實踐。物聯網區塊鏈系統開發,區塊鏈直銷系統開發,南寧區塊鏈開發。首先要遵守OWASP的#9建議,以避免使用已知漏洞的第三方組件。

對於開源組件,只有軟件組合分析(SCA)工具可以識別具有與之關聯的漏洞的開源組件,即使其中一個依賴項中存在深層漏洞。能夠在開發過程的早期捕獲風險較大的開源組件,可以更容易,更快速地獲得更安全的產品,減少最後一刻的撕裂並在發布之前替換操作。

在不太理想的情況下,在部署後的產品中會發現新的漏洞。值得慶幸的是,根據開源漏洞管理報告的狀態,在97.4%的案例中,有一個可用的修復程序。盡管將補丁推送到設備可能會有很多麻煩,但這仍然遠比讓客戶在黑客中受到攻擊更好。

許多公司面臨的問題是,他們根本不知道他們的產品中包含哪些開源組件,更不用說可能影響其產品的新漏洞已經發布。

與Windows一樣,通過單一管道定期發送補丁的商業產品不同,開源社區是相當分散的,這使得難以掌握它們。物聯網區塊鏈系統開發,區塊鏈直銷系統開發,南寧區塊鏈開發。

這是高級SCA工具可以拯救的地方,因為它可以在開源組件進入產品或存儲庫時自動識別和清點開源組件,並且能夠匹配在各種數據庫上發布的 新髮現的漏洞。像NVD這樣的建議。

這些警報可以幫助公司在黑客面前領先一步,在黑客利用這些漏洞數據庫獲取有關哪些組件易受攻擊以及如何攻擊它們的免費情報之前,及時進行補救。

一些數據預計,物聯網將在未來幾年內成為更具統治力的力量。思科預測到2020年,物聯網設備的數量將增加到約500億。

希望這些漏洞的發現將激發對用於物聯網的開源組件的更多研究,從而幫助我們的設備更加安全。發現漏洞是開發過程中的一個健康部分,只是對話的開始。尋求證明自己可以成為負責任的參與者的供應商的問題是他們如何選擇實施安全性。

About 尋夢園
尋夢園是台灣最大的聊天室及交友社群網站。 致力於發展能夠讓會員們彼此互動、盡情分享自我的平台。 擁有數百間不同的聊天室 ,讓您隨時隨地都能找到志同道合的好友!