发布时间:2022-12-27 分类: 电商动态
随着物联网终端数量的跨越式增长和物联网安全相关法律标准的逐步落地,低资源嵌入式设备的固件安全将受到更多关注。TinyScan作为端到端的IoT安全检测平台,真正从源头扫描挖掘隐藏的敏感信息和安全风险。固件开发者和固件用户都可以通过该工具掌握指定固件的安全情况,并进行针对性的防御或规避,从而减少固件漏洞导致的物联网安全问题数量。
自4月1日青莲云正式上线物联网安全检测平台以来,注册企业97家,检测企业71家,共扫描457次。共发现安全风险1992项,高风险风险135项,中风险546项,低风险1311项,其中固件安全风险数量占总安全风险的三分之一。
物联网时代往往采用感知、传输、应用三层结构模型,分布在三层的传感器、网关、控制器等嵌入式设备引入了大量新的安全问题:
系统安全。目前主流的嵌入式操作系统仍然是基于Linux或者Linux的衍生品,不同的企业根据自己的产品需求和特点量身定制开发Linux系统。然而,由于嵌入式设备资源有限的客观存在,现有的安全防护方案很难完全移植到物联网设备上。
组件安全性。由于嵌入式设备使用Linux作为操作系统,因此不可避免地会使用许多开源组件。一些开源组件隐藏在C/S模式下,可能会在物联网时代被重新发现和利用。由于同一空间内同时存在大量相同的物联网设备,如果这些设备的固件在漏洞出现后没有及时升级,可能会造成很大的损失。
R&D安全。互联网时代,客户端无法直接访问和控制服务器,而这种现象在物联网时代已经发生了改变。通过开源逆向工具,用户可以轻松获取设备固件中留下的配置文件和明文信息,进而直接获取设备的访问权限,对大量同规格设备构成威胁。
针对上述问题,TinyScan自动从以下几个维度对固件安全性进行分析,最后以报表的形式输出分析结果。
1.文件系统服务安全性分析
自动扫描获取固件文件系统的基本信息,包括文件系统的CpU架构、创建时间、压缩方式、类型、大小和存储方式;通过获取文件系统的基本信息,可以明确扫描目标类型,进而切换不同的扫描引擎进行针对性扫描。
2.系统服务分析
定向扫描,获取系统服务信息,包括系统服务路径和MD5值;通过获取系统服务信息,可以了解系统服务的自启动情况,快速知道自启动服务中是否存在未知的恶意脚本等信息。
3.组件软件安全性分析
定向扫描获取系统组件软件信息,包括组件软件路径、描述和网址;通过获取组件软件信息,可以快速获取固件中安装的组件软件的版本信息,进而进行针对性的安全扫描。
4.用户密码检索
定向扫描,获取用户密码信息,包括密码相关文件路径和密码信息;通过用户密码检索,可以暴露固件中不规范开发导致的密码信息泄露。
5.加密认证的安全性分析
自动扫描获取加密认证文件信息,包括加密认证文件路径和加密信息;加密认证检测会暴露不规范开发导致的固件中加密认证信息的泄露。
6.敏感信息安全分析
固件中可疑敏感信息的自动扫描和获取包括但不限于硬编码Token/key、配置硬编码密码、硬编码Ip、硬编码HTTp地址、缓存文件泄露等。会暴露由于不规范开发导致的固件中敏感信息的泄露。
7.CVE漏洞检测
快速检测文件系统中的CVE漏洞信息
作为端到端的IoT安全检测平台,TinyScan可以作为测试项目加入到开发测试过程中,帮助开发者提前发现并解决固件安全问题,提升固件安全性能;您也可以将TinyScan生成的安全分析报告作为自己的产品安全证书,直观地向产品购买者展示产品安全能力。TinyScan是您的入门级物联网安全检测工具。
平台地址:
请联系进行产品购买/业务咨询
