Credit: Pixabay/ CC0随着越来越多的漏洞被发现,对物联网设备的公共领域网络攻击没有放缓的迹象。虽然这些攻击大多是由于设备配置错误或密码薄弱而发生的,但安全研究人员担心会大量使用第三方库——供应商可能会在设备软件中使用的代码集合——而不是从头开始编写代码。他们的想法是:如果这些库中存在安全漏洞,每个使用它们的供应商也会受到影响。换句话说,大量物联网设备可能会受到常用库中漏洞的影响。
“易受攻击的图书馆导致易受攻击的设备,这威胁到用户家庭的整体安全,”CyLab的张寒说,他是计算机科学系(CSD)的博士生。
在本周的安全研讨会上,张介绍了一项新的研究,表明这个问题是多么普遍。张和他的合著者研究了27种不同智能家居设备的122种不同的物联网固件,这些固件在8年的时间里发布。他们的目标是了解通用库在设备供应商中的使用有多普遍,这些库是否被更新以修补漏洞,以及供应商在更新他们自己的设备固件中的修补库时是否有显著的延迟。
事实证明,这个问题相当普遍。
“我们发现供应商很少更新库,他们大多数时候使用过时的——而且经常是易受攻击的——版本,”张说。
研究人员发现,一些图书馆在应用向公众提供的关键安全补丁方面落后了数百天。Zh ang表示,依赖个别物联网供应商及时更新他们使用的库是有问题的;这需要太多的努力,但回报却很少。
“但如果它们不能更新,”韩说,“……脆弱的图书馆对家庭物联网环境构成了巨大威胁。”
为了帮助减轻管理不当的图书馆带来的挑战,该团队提出了一个新的系统“捕获”,允许本地网络(如单个家庭WiFi网络)上的设备利用一个集中的集线器,该集线器具有保持最新的图书馆。研究人员说,有了C apture,一个家庭的智能设备集合将始终使用更新和安全的库运行。
研究人员测试了他们的系统,并表明几个示例物联网设备可以成功修改为使用捕获,而设备的性能变化很小。
“捕获可以提供家庭物联网环境中目前缺乏的额外安全保护,以防止本地和互联网攻击者,”CyLab的马特·弗雷德里克松说,他是CSD和软件研究所(ISR)的教授,也是这项研究的合著者。
张说,不仅智能家居设备的用户会从使用Capture中受益,设备供应商自己也可能会被激励使用它,因为它减轻了他们经常失败的安全维护负担。
研究人员确实承认该系统存在一些重大限制,例如Capture会产生单点故障。这些限制是未来工作的领域。
“随着我们继续在家庭和办公室部署各种各样的智能设备,想出保证安全性和向用户保证其隐私做法的方法将对消费者信心和广泛采用至关重要,”CyLab的Yuvraj Agarwal说,他是ISR的教授,也是这项研究的合著者。
Capture的代码是开源的,可以在Github上获得。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
