嵌入式系统有一个不幸的事实:一旦在野外部署和使用,它们就永远不会 100% 安全,尤其是在世界变得更加互联的情况下。历史上对这些系统应用的安全工程方法松懈,进一步加剧了这一现实。大多数设备专注于特定于设备的软件,而经常忽略操作系统和较低级别的组件。
随着数十亿嵌入式系统在全球范围内使用并且越来越多地连接在一起,攻击者有很大的动机设计新的、阴险的方法来提取敏感数据和/或重新利用现场设备以谋取个人利益。
此外,设备本身和特定功能的软件通常需要随着时间的推移而更新,以应对新的安全威胁。犯罪黑客不断开发用于毁灭性攻击的新方法,例如今年早些时候对佛罗里达州一家水处理厂的攻击。
让我们来看看 10 个可能危及我们业务、财务和关键基础设施中的嵌入式系统的致命安全错误。
- 让您的敏感数据和应用程序保持清晰
根据MITRE 常见弱点枚举列表,犯罪分子可以读取、提取和利用您以明文形式留下的数据和应用程序。加密数据和应用程序是不够的;您还必须担心加密密钥的存储位置和方式以及使用的算法。假设我们只能使用 SSL/TLS 来保护传输中的数据是错误的,因为我们经常忘记相同的数据本地存储在边缘设备和云平台中。
网络犯罪分子很容易以明文形式获取数据并在暗网上出售或将其发布到公共文本存储网站上。
此外,犯罪分子可以轻松地进行逆向工程和恶意修改明文应用程序。犯罪黑客这样做是为了暴露秘密、敏感的算法或导致您的代码以意想不到的方式执行。
- 在没有安全、经过身份验证的引导的情况下启动您的系统
正如ZDNet报道的那样,一名软件工程师发现了 LG Android 智能手机中的引导加载程序漏洞,使设备容易受到冷启动攻击。
网络犯罪分子可以对未通过安全启动过程启动的设备进行 root。此外,他们还可以更改您的引导加载程序、操作系统、UEFI BIOS 和硬件/软件配置&#