應勢而生 全新IOT漏洞定級評分標準試執行！

　　物聯網將成未來大勢所趨這一觀點我想大家已經不止一次的聽說，無論是智慧家居還是工業物聯網，未來都將大規模普及。但大家在享受物聯網所帶來的便利的同時，最不能忽略的就是物聯網的安全問題。

　　針對IOT安全，不少廠商和機構都制定了相應的一些標準，但不可否認的是，有些廠商的標準或許就為了蹭一個熱點，又或許制定標準時因操之過急而過於簡單,致使IOT相關漏洞的危害程度劃分較為模糊。

　　為了解決這一問題，阿里巴巴旗下ASRC透過與業務部門的對焦整理並參考業內實踐，正式試執行了《IOT漏洞定級評分標準V1.0》，試執行期限為1個月。據稱該標準僅適用於裝置作業系統、裝置端導致的漏洞。同時ASRC表示將正式根據新標準開始收集IOT相關的漏洞。

　　IOT安全漏洞等級劃分

　　根據介紹，《IOT漏洞定級評分標準V1.0》將IOT漏洞根據危害程度劃分為嚴重、高、中、低四個不同等級、而每個漏洞的貢獻值最高為100，安全幣最高為1500。由ASRC結合利用場景中漏洞的嚴重程度、利用難度等綜合因素給予相應分值的貢獻值和漏洞定級，每種等級包含的評分標準及漏洞型別如下：

　　●嚴重：貢獻值【90~100】，安全幣【1050~1500】，本等級包括：

　　1、 遠端獲取系統特權的漏洞。包括但不僅限於遠端命令執行、任意程式碼執行等能導致遠端控制裝置並且竊取裝置內隱私資訊的漏洞。

　　2、遠端導致裝置永久性拒絕服務的漏洞。包括但不僅限於系統裝置遭到遠端發起的永久性拒絕服務攻擊(裝置無法再使用：完全永久性損壞，或需要重新刷寫整個)。

　　●高：貢獻值【60~80】，安全幣【400~800】，本等級包括：

　　1、遠端獲取系統非特權許可權的漏洞。包括但不僅限於遠端命令執行、任意程式碼執行等漏洞。

　　2、本地獲得系統特權許可權的漏洞。包括但不限於本地許可權提升漏洞。

　　3、遠端越權訪問敏感資訊漏洞。敏感資訊包括但不僅限於本地安裝的應用在請求並獲得許可權後才可以訪問的資料，或僅限特權程式訪問的資料。

　　4、遠端越權操作漏洞。包括但不僅限於遠端繞過需要使用者發起或者獲得使用者許可後方可使用的功能限制，進行越權敏感操作的漏洞。

　　5、導致裝置拒絕服務的漏洞。包括但不僅限於系統裝置遭到本地發起的永久性拒絕服務攻擊(裝置無法再使用：完全永久性損壞，或需要重新刷寫整個作業系統)、遠端攻擊導致的暫時性拒絕服務攻擊漏洞(遠端掛起或者重新啟動)。

　　6、許可權繞過漏洞。包括但不僅限於全面深入的繞過核心級防護功能，或利用緩解技術存在的漏洞、本地繞過針對使用者功能要求限制對任何開發者或針對任何安全設定進行修改、全面繞過應用隔離作業系統保護功能。

　　●中：貢獻值【30~50】，安全幣【60~150】，本等級包括：

　　1、遠端獲取系統低許可權的漏洞。包括但不僅限於在受限程式中遠端執行任意程式碼漏洞。

　　2、本地越權操作漏洞。包括但不僅限於本地繞過需要使用者發起或者獲得使用者許可後方可使用的功能限制，進行越權敏感操作的漏洞。

　　3、導致裝置暫時性拒絕服務的漏洞。包括但不僅限於本地攻擊導致的暫時性拒絕服務攻擊漏洞(裝置需要恢復出廠設定)。

　　4、許可權繞過漏洞。包括但不僅限於全面深入的繞過使用者級防護功能，或在特權程式中利用緩解技術存在的漏洞、繞過裝置保護功能/恢復出廠設定保護功能的漏洞。

　　5、遠端越權訪問普通訊息漏洞。普通訊息包括但不僅限於通常可供本地安裝的所有應用訪問的資料。

　　6、敏感資訊洩露。包括但不僅限於透過逆向、網路劫持、原始碼等方式獲取系統中重要金鑰、密碼、Secret等可利用的資料。

　　●低：貢獻值【10~20】，安全幣【15~50】，本等級包括：

　　1、許可權繞過漏洞。包括但不僅限於全面深入的繞過使用者級防護功能，或在非特權程式中利用緩解技術存在的漏洞、本地繞過系統許可權控制獲取使用者的非敏感受控資料的漏洞。

　　2、導致裝置暫時性拒絕服務的漏洞。包括但不僅限於本地攻擊導致的暫時性拒絕服務攻擊漏洞(可透過以下等多種方法解決：如使裝置重啟並移除存在問題的應用、adb連線後變更恢復等)。

　　3、本地越權操作漏洞。包括但不僅限於不透過使用者互動的情況下，呼叫系統隱藏功能，對使用者的使用造成實際困繞或發生實際損失的漏洞。

　　透過提交漏洞，可獲得相應的共享之和安全幣。根據介紹，貢獻值將用於榮譽獎勵頒發，安全幣將用於禮品獎勵兌換。而安全幣和現金兌換比例為1:10，即一個1500安全幣的嚴重漏洞獎勵是15000人民幣。

　　此外，ASRC還給出了相關程式說明和漏洞接受範圍說明如下：

　　程式說明

　　1、受限程式：在高度受限的 AliSE 域中執行的程式、或受限程度遠遠超過普通應用的程式。

　　2、非特權程式：普通應用或程式、或在安全沙盒中執行的應用或程式。

　　3、特權程式：擁有第三方應用無法獲得的重要許可權的應用或程式。

　　4、核心：屬於核心一部分的功能，或在與核心相同的 CPU 環境中執行的功能(例如，裝置驅動程式)。

　　漏洞接收範圍說明

　　1、AliOS開原始碼地址：https://developer.alios.cn

　　2、收集以下產品的AliOS作業系統的漏洞。

　　Pad類：惠普YunOS Book，其他產品將陸續更新。(PS：合作廠商二次開發模組產生的漏洞、核心、驅動產生的漏洞不在接收範圍內。)

　　3、除錯平臺：AliOS被設計為可以適配到多種裝置上，如智慧手機，車機，Lite裝置等。

　　由此可見，ASRC本次執行的《IOT漏洞定級評分標準V1.0》整體較為完善，對於IOT安全漏洞的收集來講有著重要意義，自3月1日起，該定級標準正式試執行，相信透過該定級標準，IOT安全領域將更為規範。