重磅发布：新一代固件安全检测平台——全面提升物联网固件安全风险排查能力

随着物联网智能终端数量的爆发式增长，安全问题也不断暴露出来。很多攻击者从物联网设备的固件入手，对固件进行破解，寻找可被利用的漏洞或可攻击的弱点，对固件进行恶意攻击。

物联网设备的固件安全漏洞，主要有两类：一类是固件自身安全漏洞，主要包括开发过程中的代码缺陷、程序错误；不安全的配置信息；敏感信息、密钥信息泄露三方面的安全漏洞。另一类是集成的第三方软件漏洞，主要包括使用不被维护的第三方软件和版本滞后的第三方软件，这些软件缺乏安全性上的重视和漏洞审查，存在安全隐患。

历年来，固件安全一直是IoT终端安全的薄弱点之一，媒体报道的固件安全案例包括：

1）贝尔金路由器的固件存在缓冲区溢出漏洞，自动默认启用网络访问功能且无需身份验证，攻击者可利用该漏洞获取root访问权限，执行恶意操作

2）D-Link路由器的固件泄露了公司内部使用的私有密钥，攻击者可能会利用密钥对恶意软件进行签名，以此欺骗普通用户进行安装

3）海康威视摄像头的固件存在弱口令风险和第三方软件漏洞，攻击者可从固件中获取到用户名密码信息，直接登录进行恶意攻击

4）丰田和雷克萨斯汽车的固件存在敏感信息泄露的漏洞，攻击者利用该漏洞可发起远程攻击，实现远程控制汽车

……

面临严峻的物联网安全态势，物联网相关的国家/行业标准法规中也开始普遍重视物联网设备固件的安全性，其中《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》明确了固件安全要求，需要保证固件上线前经过安全检测。

对于企业厂商和监管机构而言，物联网设备的固件安全检测已经刻不容缓。

梆梆安全固件安全检测平台重磅升级，更精确更全面更闭环

梆梆安全早在2018年即推出固件安全检测平台，产品经过运营商、智能家居、能源、车联网等物联网行业客户广泛验证。

2020年5月全新升级的固件检测2.0版本，包含五大能力，助力厂商全面排查固件安全隐患。

1）漏洞风险检测：覆盖CVE漏洞库平台、CNNVD漏洞库平台10余万漏洞，支持国际代码安全漏洞平台（CWE）的代码风险检测，具备国内外漏洞风险检测能力

2）安全合规检测：对标国际物联网漏洞标准OWASP IoT TOP10，符合国内《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》“工业控制系统安全扩展要求安全”的规定，保障固件上线前的安全测试

3）固件成分与数据安全检测：智能识别固件基本信息，准确检测固件内敏感信息、数据信息和第三方软件漏洞等

4）专业的风险解决建议：提供固件风险漏洞定位及修复建议

5）智能检测模板与报告：基于不同场景自主选择检测模板，带来更直观、符合需求的检测报告

更新后的版本，从以下三个方面全面提升产品价值：

1. 漏洞检测、问题定位更精确

1）增强了国内外漏洞库平台的兼容支持，自动化完成组件漏洞分析，不遗漏不误报

2）智能识别固件类型，遍历固件文件，精准匹配漏洞特征，检测出风险代码位置

2. 检测能力大幅提升，检测内容更全面

1）从固件基本信息、敏感信息、密钥信息、配置文件、代码缺陷等维度全面检测风险漏洞

2）准确识别固件内第三方软件成分、以及软件漏洞，提供漏洞索引、严重程度和漏洞定位

3. 专业解决建议，让固件漏洞更闭环

1）针对固件风险漏洞提供详细定位及专业的修复建议

2）支持漏洞文件下载及问题代码查看，助力开发者闭环完成漏洞的发现与修复

梆梆安全固件安全检测平台为开发者提供了一种便捷的、自动化的检测方式，能够快速实现物联网设备固件安全隐患的检测。平台通过自动化的方式从固件自身信息、敏感信息、代码安全、配置风险、CVE漏洞等多个检测维度，识别和分析物联网设备固件可能存在的风险漏洞，提早发现固件安全问题，提升物联网设备的安全强度，避免固件漏洞被恶意利用导致信息泄露、设备功能故障等，也降低厂商的更新、回收和升级成本。

面向IoT开发企业，梆梆安全已经建立了涵盖事前风险检测、事中安全防护、事后资产监测的全生命周期保护方案，可以为IoT开发及相关企业提供一体化安全服务。