智能终端固件自动安全分析系统开发与思考.pdf
《智能终端固件自动安全分析系统开发与思考.pdf》由会员分享,可在线阅读,更多相关《智能终端固件自动安全分析系统开发与思考.pdf(3页珍藏版)》请在咨信网上搜索。
1、75东方有线专栏广播电视网络 2023 年第 7 期 总第 403 期聚焦运营商1 引言随着新型技术快速发展,智慧家庭产品的应用越来越广泛,广电智能终端的安全性愈加重要。按照中华人民共和国网络安全法等政策规范的要求,需履行网络安全保障义务,提升网络安全防护能力。针对广电行业电视终端,TVOS 工作组制定了行业标准智能电视操作系统 第 2 部分:安全,其中定义了基础安全能力,包含软件安全、数据安全、应用安全等,为软件安全管理提供了参考方向。对于第三方开发的固件,尤其是终端固件,在没有源代码的情况下,无法采用静态源代码分析工具分析出漏洞、敏感信息、不安全的 URL 链接等安全问题。因此,在检测前需
2、要对终端固件进行反编译,再对反编译得到的中间码或者源码进行分析,找到代码缺陷,通过及时修复以降低安全风险,提升终端的安全性。另外,由于传统的固件安全检测手段完全依靠人工进行解包、分析,其工作效率及正确率难以得到有效保证。为此,东方有线网络有限公司联合相关单位开展针对智能机顶盒等终端的固件安全检测,进行智能终端固件自动安全分析系统的开发。2 智能终端固件自动安全 分析系统简介智能终端固件自动安全分析系统是基于自动化的漏洞检测平台,提供固件内组件可见性和风险评估,利用二进制文件逆向编译及漏洞分析技术,检测固件中可能存在的安全漏洞和风险。同时,提供可下载的固件分析报告,提供检测结果。智能终端固件自动
3、分析系统业务流程如图 1 所示。该系统可分析固件中包含的开源组件、文件敏感信息,并发现固件内存在的安全漏洞,做出风险提示,提供修复建议。3 系统架构系统以静态分析技术为基础,通过解包固件内的多种组件,再通过二进制程序反编译以找到公开可用漏洞的类别、程序脆弱点、敏感信息等,生成一组漏洞信息表。通过系统内置的漏洞库进行比对,并根据漏洞库中的信息对漏洞进行风险评级,最终生成一份针对此固件的安全漏洞分析报告。智能终端固件自动分析系统主要包括 3 层:交互层、业务层和数据层,具体架构如图 2 所示。(1)交互层:提供 Web 访问服智能终端固件自动安全分析系统开发与思考张晨 东方有线网络有限公司摘要:近
4、年来,随着物联网、人工智能的快速发展,IoT 技术加速演进与落地,互联网进入万物互联、智能互联的新阶段,不仅带来了海量智能化终端,也带来了大量软件漏洞导致的安全风险。终端软件是网络安全防护的重要门户和攻防的关键节点,值得高度重视其安全性。本文介绍了智能终端固件自动安全分析系统,包括系统简介、系统架构、主要功能等,并对东方有线机顶盒终端及网络接入终端的固件进行自动化分析。关键词:智能终端 安全检测 漏洞修复 固件分析图 1 智能终端固件自动分析系统业务流程76广播电视网络 2023 年第 7 期 总第 403 期东方有线专栏聚焦运营商务、用户登录平台、提交待测固件和获取分析报告等交互操作。(2)
5、业务层:通过固件分析引擎,实现对固件的检测和分析、分析报告生成和下载等业务。(3)数据层:包括漏洞库、检测结果数据库、固件文件数据库、用户信息数据库、日志数据库等。4 主要功能智能终端固件自动分析系统主要包括如下 8 个功能。4.1 固件信息检测对各类机顶盒终端及网络接入终端所运行固件的未压缩、未加密原始二进制文件格式进行自动分析,为报告生成提供固件基本信息。4.2 组件检测在系统中经常会用到各类开源组件来实现功能点,但通常不关注安全资讯,不了解开源组件的哪个版本存在什么样的漏洞,从而可能会引入安全漏洞。组件检测功能可以识别固件中包含的各种软件组件及其版本信息。比如,对调用 Java 对象来说
6、,操作系统通过 WebView.addJavaScriptInterface方法注册可供 JavaScript 调用的 Java对象,用于增强 JavaScript 的功能,但系统没有对注册 Java 类的方法调用进行限制,导致攻击者可以利用反射机制调用未注册的其他任何 Java 类,最终导致 JavaScript 能力的无限增强。攻击者利用该漏洞可以对终端执行任意代码。具体来说,较为常见的是在系统某些版本下的 WebView 组件存在安全漏洞(CVE-2012-6636),如检查某些 XML 文件中的 targetSdkVersion 参数是否大于等于 17,若低于 17,则存在该漏洞。如果
7、在使用 WebView 的过程中忽略了 setSavePassword 参数,当用户选择保存在 WebView 中输入的用户名和密码,则会被明文保存到应用数据目录中。攻击者可以获取明文保存的密码,造成个人敏感数据泄露。固件检测系统会搜索“setSavePassword”字段,检测参数否显示设置为“false”。4.3 CVE/CWE 漏洞检测为解决有限的漏洞信息库,系统集成了可离线或在线更新的 3 种漏洞信息库:漏洞编号系统(CVE)、中国国家漏洞信息库(CNNVD)和常见缺陷列表(CWE)。CVE 是一个公共漏洞编号系统,它为已知漏洞分配唯一的标识符,以便于在不同的安全工具和系统中进行跟踪和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智能 终端 自动 安全 分析 系统 开发 思考
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。