嵌入式设备安全:网络安全的盲区和雷区
作者:星期三, 一月 15, 20140

嵌入式设备安全

 

 随着物联网, 可穿戴设备, 开源硬件等的兴起, 越来越多的软硬件结合的嵌入式设备开始接入互联网。 我们正在身处一个联网设备爆炸式增长的时代。 然而, 嵌入式系统潜在的严重安全隐患却并没有引起足够的重视。 可以说, 嵌入式安全是目前网络安全领域的“盲区”和“雷区”

嵌入式系统的安全现状和上世纪90年代PC安全的情况有些类似。 那个时候, 软件和操作系统的漏洞层出不穷。 而对这些漏洞并没有一个系统的补丁机制。 软件公司不愿意尽快发布针对漏洞的升级, 甚至不愿公布他们已经发现的自身的软件或者系统漏洞。 而且, 即使发布了漏洞补丁, 也最终用户也很难安装。 经过了20多年的发展, 这一情况得到了很大的改善。 一方面, 公开的漏洞库迫使了软件公司尽快发布软件或者系统补丁, 另一方面, 自动更新机制使得在最终用户的PC上安装补丁变得更加容易了。

不过, 目前嵌入式系统的安全情况比那个时候要复杂得多。 一方面,随着物联网的普及, 几乎所有的设备都接入了网络。 一旦系统漏洞被发现, 针对这一漏洞的攻击会更加容易, 所造成的损失也更大。 另一方面, 嵌入式设备, 比如机顶盒, 家用路由器, 智能电器等的生产厂商的漏洞修补能力。 也远比不上PC行业早期的软件公司。 这就是为什么我们最近常常会听到家用路由器被攻击的报道。

这里我们有必要介绍一些嵌入式市场的生态环境。 一般来说,嵌入式设备的上游是芯片厂商。 比如英特尔, Broadcom, 高通, 德州仪器, Marvell之类的芯片商。 嵌入式芯片的价格较低, 因此毛利也较低。 这些厂商通常会在芯片基础上加上一个嵌入式的Linux系统以及一堆开源的软件以及一些专用的驱动等等。 不过, 他们会尽量地少做改动也不会提供板卡级的升级(除非存在严重的问题)。

嵌入式设备的中游就是ODM厂商, 这些厂商主要是贴牌代工。他们没有自己的品牌。 因此, 在选择芯片方面通常都是根据所需要的功能, 选择便宜的解决方案来生产路由器, 机顶盒等等嵌入式设备。同样, 这些厂商也基本不会提供设备更新等支持。

接下来就是品牌厂商, 他们从ODM那里选择了产品,  可能会改一些用户界面或者添加一些新的功能之类。 对产品整体做一些包装,

在整个这个过程中, 我们可以看到,一旦产品售出, 没有一个环节的厂商有意愿或者有能力给产品提供安全升级的支持。 芯片厂商关心的是推出下一代芯片。 ODM厂商关心的是如何配合新的芯片。 对旧产品的升级与支持都不是他们关心的问题。 而一个普遍存在的情况就是, 即使嵌入式设备的硬件是新的, 它所采用的软件部分可能是很旧的版本。 最近的一个针对常用家用路由器的调查就显示, 软件部分通常比硬件部分要陈旧45年。 其中Linux内核平均陈旧4年, Samba文件系统陈旧了6年之多。 当然这些旧的系统可能已经早就打了各种补丁, 很大的可能是没有。 而有些系统已经非常陈旧,不再有最新的补丁支持了。 这些系统级的漏洞一旦被发现, 对设备的安全的威胁可想而知。 更加糟糕的是, 对嵌入式系统的升级很多情况下是非常困难, 甚至不可能的。 首先, 尽管很多系统是开源的Linux系统, 有很多驱动或者其他程序是私有的, 在没有源代码的情况下, 几乎不可能对系统漏洞进行补丁处理。 其次, 即便是能够开发补丁, 用户经常需要自己手动下载并安装。 很多情况下, 由于没有相应告警或者提示, 用户根本没有意识到系统需要进行安全升级。 而且, 在嵌入式设备的应用场景下, 很多情况下用户也并不具备手动管理设备的能力第三, 在某些领域, 比如工控网领域, 进行嵌入式设备的升级可能意味着整个工作流程的停顿。 而往往这样的停顿是不允许的。

这样的结果, 就造成了数百万数千万的嵌入式设备接入了互联网, 它们没有安全补丁, 漏洞暴露在外, 等待黑客发现并攻击。 这样的情况过去10年是这样的, 而且可能还得至少持续5年。

过去几年里, 针对嵌入式设备的黑客攻击已经出席。 2012年,黑客们攻击了巴西的450万台DSL路由器, 植入了DNS Changer恶意软件用以进行恶意劫持。 2013年, 安全牛网站也报道了一种针对嵌入式设备的新型Linux蠕虫 而针对嵌入式设备攻击的黑客工具也开始完善起来。

在嵌入式设备里, 家用路由器所带来的安全问题最为严重。 一来, 最为连接用户与互联网的桥梁, 这些设备常常是永远在线状态。 第二, 目前随着所谓智能路由器概念的兴起, 路由器正在加入更多的功能, 这样也就有可能带来更多的漏洞。

联网嵌入式设备所带来的安全问题比PC时代的安全问题更加可怕。 首先是数量上, 嵌入式设备比PC大了一个数量级。 其次是从损失上来说, 嵌入式系统遭受攻击带来的可能是物理损失, (想一想医疗仪器或者工业生产线遭受网络攻击的损失就知道了)。 而嵌入式设备的安全现状却是如此不堪。 成为目前网络安全领域的一个盲区

因此, 无论从厂商也好, 嵌入式设备的使用者来说, 都需要开始重视嵌入式设备的安全。 而嵌入式设备的安全问题, 也许能够推动嵌入式设备行业的一轮洗牌。 国内的嵌入式设备的厂商比如小米, 360等也许应该抓住这个机会。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章