全球數億物聯網裝置受影響!騰訊報告首個LoRaWAN協議棧通用漏洞
近日來,國家連續出臺多項“新基建”相關政策,大力推動以物聯網、5G、AI等為代表的新型基礎設施建設。作為“新基建”資訊基礎設施的重要構成部分,物聯網行業利好不斷;同時,物聯網與 5G、人工智慧、工業網際網路等“新基建”版塊關聯密切,應用前景廣闊;5G技術的蓬勃發展,也為物聯網行業注入新的動能。
可以看到,能聯網的家電、會唱歌的音響、自動開啟的路燈、智慧識別的停車場……萬物互聯的時代正在到來。如何保證萬物“安全”通訊,也成為當下人人相關、備受關注的話題。
LoRaWAN協議棧首個通用漏洞,可影響全球數億物聯網裝置
近日,全球主流物聯網協議LoRa核心技術專利的擁有者、LoRa 聯盟發起者之一 Semtech 公司CTO Nicolas Sornin,專程向騰訊安全平臺團隊Tencent Blade Team 發來感謝信,致謝其發現並向 Semtech 報告的LoRaWAN 協議棧通用安全漏洞——LoRaDawn,並期待未來與 Tencent Blade Team 的合作。
據悉,這也是目前首個在 LoRaWAN 協議棧實現軟體中發現的、影響範圍極其廣泛的通用安全漏洞。
在4月初向 Semtech 提交的報告中,Tencent Blade Team 描述了該漏洞的具體成因。當前發現的 LoRaDawn 安全漏洞主要存在於 LoRaMac-Node(由 Semtech 開發的 LoRaWAN 協議棧實現),該軟體在解析下行無線電資料包時存在缺陷,導致記憶體破壞。
利用 LoRaDawn,可以突破 LoRaWAN 協議的安全防護機制,對 LoRaWAN節點發起遠端攻擊。目前市場上大部分的 LoRaWAN 節點裝置都將受到影響,具有極高的公共安全風險。
針對 LoRaDawn 造成的安全風險,Tencent Blade Team提供了相應的修復建議,包括增加對惡意資料包的過濾機制,增強協議棧的安全性等。目前漏洞已被 Semtech 官方確認並在最新發布的版本中進行修復。
此外,Tencent Blade Team 也關注到 LoRaWAN 生態產業上存在的安全問題,報告了存在於 LoRaWAN 閘道器實現以及核心網部署的安全風險。整合LoRaWAN 開源協議棧,並於2019年底重磅開源的騰訊物聯網作業系統TencentOS Tiny,也與 Tencent Blade Team持續深度合作,保障使用 LoRa 技術的物聯網端側裝置和應用安全,共同促進物聯網行業生態持續發展,助力整個物聯網生態安全的共建。
騰訊加速佈局物聯網, 推動LoRa技術應用
LoRa 是當前全球主流的物聯網連線技術之一,廣泛應用於智慧城市、工業物聯網等領域。從2013年 Semtech 公司釋出第一代商用 LoRa 晶片以來,LoRa 技術憑藉其低功耗、遠距離等技術優勢,近幾年在全球物聯網行業被廣泛應用,基於 LoRa 定製的 LoRaWAN 標準也逐步成為 LPWAN(低功耗廣域網)的事實標準。
LoRaWAN 協議是由 LoRa 聯盟推動的一種低功耗廣域網協議,2015年,由Semtech 聯合 Actility、Cisco 和 IBM 等多家廠商共同發起創立 LoRa 聯盟,將 LoRaWAN 進行了標準化,以確保不同國家的 LoRa 網路可以互操作,騰訊也是 LoRa 聯盟的主要成員之一。
據公開資料顯示,截至2019年底,在 LoRaWAN 網路下已有7.3億的裝置連線,使用場景豐富。
目前,LoRa 在中國也已形成了中國聯通、中國鐵塔等運營商、騰訊、阿里、京東等網際網路企業以及解決方案商、模組提供商和閘道器製造商等在內的豐富生態體系。
騰訊作為 LoRa 技術的重要共建者,通過騰訊雲物聯網開發平臺提供 LoRaWAN 物聯網路接入能力,及一站式的物聯網全鏈條服務。全球合作伙伴及開發者可通過騰訊開放共享的 LoRa 社群網路,包括騰訊在深圳自建的數百個 LoRa 閘道器,就近完成 LoRaWAN 裝置接入,大幅降低部署成本和使用門檻。
建設行業標準,守護物聯網安全生態
作為騰訊旗下的前瞻安全技術研究團隊,Tencent Blade Team 此前曾突破性地報告了 TensorFlow 的前七個漏洞,引發業界對深度學習框架安全性問題的重視,並率先發現 Google Home、亞馬遜 Echo 等智慧音響的竊聽風險,引發廣泛關注。
在人工智慧、物聯網、移動網際網路、雲虛擬化技術、區塊鏈等前沿技術領域,Tencent Blade Team 都積累了豐富的研究成果,目前已向 Apple、Amazon、Google、Microsoft、Adobe 等諸多國際知名公司報告並協助修復了200多個安全漏洞。
與此同時,Tencent Blade Team 也將研究成果與騰訊豐富的業務場景相結合,致力於提升騰訊產品的安全性、守護使用者安全。
2019年底,Tencent Blade Team 就深度參與了由騰訊牽頭提出併成功立項的國際電信聯盟標準《物聯網異構裝置的資料安全要求》,旨在為智慧城市物聯網場景下的資料安全挑戰提供必要的技術保障。與此同時,Tencet Blade Team還將團隊多年的研究成果落地為《騰訊物聯網安全技術規範》,並轉化為企業標準,將安全能力開放給合作伙伴,共建安全生態。
(附:感謝信中文翻譯)
親愛的 Tencent Blade Team:
作為 Semtech的技術長(CTO),我很高興你們通過發現和報告安全漏洞,並與 Semtech 合作解決這個問題,使得我們和 LoRa相關的產品變得更加安全。
2020年4月14日,你們謹慎地向 Semtech 披露了 LoRaMAC-node 堆疊實現中的潛在緩衝區溢位問題,提供了完整的風險分析文件,並指出了修復該問題的可能性方案。我很高興地宣佈,Semtech 的技術團隊已經確認了這個問題,並在最新發布的軟體棧中修復了它。
你們將安全問題私密報告給 Semtech ,並針對這個問題提供清晰詳細的分析,堪稱行為的典範,高度展示了 Tencent Blade Team 的正直誠信。
致以誠摯的問候
Nicolas SorninSemtech 公司技術長
相關文章
- UPnP協議CallStranger漏洞影響數百萬裝置協議Ranger
- GoAheadWeb伺服器曝安全漏洞,上萬臺物聯網裝置受影響GoWeb伺服器
- 14億Android裝置受Linux TCP漏洞的影響AndroidLinuxTCP
- 物聯網實驗2 協議棧剖析協議
- 影響Realtek Wi-Fi sdk的多個缺陷影響近100萬臺物聯網裝置
- 數百萬臺操作技術裝置受影響,研究人員披露INFRA:HALT漏洞
- 全球物聯網裝置數量增長9%,達到123億
- Android與物聯網裝置通訊-UDP&TCP協議AndroidUDPTCP協議
- 2020年,全球物聯網裝置使用數將高達240億
- Wi-Fi 網路 WPA2 加密協議曝巨大安全漏洞,影響所有裝置加密協議
- 高通晶片爆漏洞危機,或可被用於執行無法檢測的APT,數億裝置受影響晶片APT
- 全球晶片短缺對物聯網的深遠影響晶片
- 騰訊IOT之樹莓派物聯網裝置樹莓派
- Gartner:預計2017年全球物聯網裝置數量達到84億
- 嚴重的ThroughTek SDK漏洞可讓駭客監視數百萬個物聯網裝置
- 物聯網時代-跟著Thingsboard學IOT架構-MQTT裝置協議架構MQQT協議
- 物聯網時代 跟著Thingsboard學IOT架構-CoAP裝置協議架構協議
- Gartner:預計2016年全球物聯網裝置數將成長30% 達到64億個
- 北斗物聯網模組全球首發
- 【物聯網】通過mqtt協議使用wifi遠端控制你的智慧裝置MQQT協議WiFi
- OTT:全球聯網裝置超過80億部
- 物聯網對企業的影響
- 愛立信:預計2021年全球物聯網裝置數量將達160億臺
- 62億臺裝置受影響 黑客無需點選就能破解你的WiFi黑客WiFi
- 使用4G通訊模組和MQTT協議,完成物聯網裝置開發。MQQT協議
- 物聯網裝置漏洞頻出企業該如何應對?
- 思科被曝 VPN 高危漏洞,工業安全裝置、防火牆等多款產品受影響防火牆
- 物聯網通訊協議介紹協議
- 超過1億個物聯網裝置容易受到黑客降級攻擊黑客
- 精度在物聯網中的重要影響
- 微軟重大安全漏洞!影響所有Windows裝置微軟Windows
- 如何保護物聯網裝置
- 大量藍芽裝置和系統將受加密漏洞CVE-2018-5383 影響藍芽加密
- FBI警告農民農場的物聯網裝置或受攻擊
- 常用物聯網應用層協議(1)——先說HTTP協議協議HTTP
- 物聯網常見通訊協議梳理協議
- 物聯網對醫療行業的影響行業
- 物聯網是如何影響我們的生活