最风行的家用路由器缺乏根基的软件安适成果

时间:2022-04-30 17:16:13

太多的物联网设备缺乏足够的安适性已经不是什么奥秘了。但是,期望家用路由器 - “为我们供给”有效的互联网连接的设备 - 实现最根基的软件安适加固成果是否过分?
 

显然,即使此中一些很容易给与,也没犯错误谬误,并且是桌面和移动软件市场的标准做法。
 

分析

网络独立测试尝试室(Cyber​​-ITL)的两名研究人员Parker Thompson和Sarah Zatko搜索了28个基于Linux的家庭路由器型号的固件映像,以获取Linux操纵系统附带的根基安适成果:
 

地点空间构造随机化(ASLR)

不成执行的仓库段(数据执行掩护 - DEP)

正确排序和符号二进制文件中的段以防备笼罩Linux系统的跳转表(RELocation Read-Only - RELRO)

仓库金丝雀可以阻止仓库笼罩(Stack Guards)。


研究人员分析了基于10个MIPS和18个基于ARM的设备的固件映像中的每个二进制文件:华硕,D-LINK,Linksys,Netgear,Synology,TP-Link和Trendnet等2018年消费者呈报中列出的风行家用路由器家庭路由器采办指南和“Best of 2018”家庭路由器列表由几个在线技术/消费者电子插座。
 

令人沮丧的功效

他们编译了两个显示功效的表(两个表的第一行引用了未经强化的Linux Ubuntu恒久撑持的根基桌面漫衍,可追溯到2016年,以进行对照):
 

最风行的家用路由器缺乏根基的软件安适成果

最风行的家用路由器缺乏根基的软件安适成果


他们的分析功效显示了很多对象:
 

所有颠末测试的设备 - 无论是基于MIPS还是基于ARM - 都缺乏根本操纵系统供给的根基应用措施装甲成果

Linux / MIPS仓库中的一个旧错误,它使基于MIPS的设备无法实现DEP掩护

虽然所评论的路由器都没有得分,但Linksys wrt32x得分最高(尽管它的ASLR掩护根基上不存在)。


最风行的家用路由器缺乏根基的软件安适成果


研究人员还发明,在同一品牌名称的差别型号中,安适成果的使用并不一致。
 

“如果提供商在运输产品之前将软件安适实践的根基查抄作为其构建和测试实践的一部分,那么该行业可以很快看到产品构建安适性的显着改进,”研究人员指出。
 

“对付提供商来说,这种状况为任何但愿与众差此外品牌供给了机会:目前只需要很少的努力来获得'同类最佳'的称呼。”