嵌入式系统安全的10个致命错误

最新推荐文章于 2022-10-25 00:11:08 发布
最新推荐文章于 2022-10-25 00:11:08 发布
阅读量2.4k 收藏
点赞数
分类专栏: crm 嵌入式开发 人工智能 文章标签: 系统安全 网络 安全 嵌入式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40234985/article/details/121017519
版权
嵌入式系统的安全性在日益互联的世界中至关重要,但往往面临诸多挑战。本文揭示了10个可能导致系统安全风险的错误,包括:数据明文存储、不安全的启动过程、权限过度授予、信任未经验证的通信等。强调了安全编码、输入验证和持续监控的重要性,以防止网络犯罪分子的攻击。
摘要由CSDN通过智能技术生成

嵌入式系统有一个不幸的事实:一旦在野外部署和使用,它们就永远不会 100% 安全,尤其是在世界变得更加互联的情况下。历史上对这些系统应用的安全工程方法松懈,进一步加剧了这一现实。大多数设备专注于特定于设备的软件,而经常忽略操作系统和较低级别的组件。

随着数十亿嵌入式系统在全球范围内使用并且越来越多地连接在一起,攻击者有很大的动机设计新的、阴险的方法来提取敏感数据和/或重新利用现场设备以谋取个人利益。

此外,设备本身和特定功能的软件通常需要随着时间的推移而更新,以应对新的安全威胁。犯罪黑客不断开发用于毁灭性攻击的新方法,例如今年早些时候对佛罗里达州一家水处理厂的攻击。

让我们来看看 10 个可能危及我们业务、财务和关键基础设施中的嵌入式系统的致命安全错误。

  1. 让您的敏感数据和应用程序保持清晰

根据MITRE 常见弱点枚举列表,犯罪分子可以读取、提取和利用您以明文形式留下的数据和应用程序。加密数据和应用程序是不够的;您还必须担心加密密钥的存储位置和方式以及使用的算法。假设我们只能使用 SSL/TLS 来保护传输中的数据是错误的,因为我们经常忘记相同的数据本地存储在边缘设备和云平台中。

网络犯罪分子很容易以明文形式获取数据并在暗网上出售或将其发布到公共文本存储网站上。

此外,犯罪分子可以轻松地进行逆向工程和恶意修改明文应用程序。犯罪黑客这样做是为了暴露秘密、敏感的算法或导致您的代码以意想不到的方式执行。

  1. 在没有安全、经过身份验证的引导的情况下启动您的系统

正如ZDNet报道的那样,一名软件工程师发现了 LG Android 智能手机中的引导加载程序漏洞,使设备容易受到冷启动攻击。

网络犯罪分子可以对未通过安全启动过程启动的设备进行 root。此外,他们还可以更改您的引导加载程序、操作系统、UEFI BIOS 和硬件/软件配置&#

最低0.47元/天 解锁文章
上帝出来见牛魔王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
嵌入式系统设计缺陷案例
hdolphin的专栏
09-25 947
Therac-25 radiation therapy machine后果:6个接受该仪器治疗的病人放射中毒,3个死亡。问题:1. 仪器控制任务和操作者接口任务没有正确同步,当操作比如按键操作太快时就出现了"竞争条件",而这种操作平时是很难测到的,因为很少情况会操作如此之快碰到这个问题。          2. 这个仪器的代码是从旧仪器代码升级上来的,旧仪器有硬件interlock来屏
嵌入式软件错误的五个主要原因
weixin_44059661的博客
08-06 2026
嵌入式开发软件中查找和消除潜在的错误是一项艰巨的任务。通常需要英勇的努力和昂贵的工具才能从观察到的崩溃,死机或其他计划外的运行时行为追溯到根本原因。在最坏的情况下,根本原因会破坏代码或数据,使系统看起来仍然可以正常工作或至少在一段时间内仍能正常工作。 工程师常常放弃尝试发现不常见异常的原因,这些异常在实验室中不易再现,将其视为用户错误或“小故障”。然而,机器中的这些鬼魂仍然存在。这是难以重现错误的最常见根本原因指南。每当您阅读固件源代码时,请查找以下五个主要错误。并遵循建议的最佳做法,以防止它们再次发生
实时嵌入式系统隐患分析与安全保障
12-10 294
从2020年第2期开始,《单片机与嵌入式系统应用》开始推出“卷首语”栏目,每期邀请一位业内专家围绕嵌入式技术针对时下热点分享自己的观点,以飨广大嵌入式技术从业者/爱好者。今天发表的这篇文...
[架构之路-55]:架构师 - 嵌入式软件常见难查问题与解决办法大总结-3-按照故障类型分类(调试手段与信息不足、指针、内存、栈溢出、性能)
最新发布
文火冰糖(王文兵)的博客
10-25 1823
嵌入式软件中,由于调试手段的限制、部署场景的多样化与复杂化以及、软硬件问题混合在一起、外部环境因素的影响以及内存空间的限制等因素,导致嵌入式软件经常会遇到一些非常难易解决的问题,本文对个人的历史经验进行了总结。在通信系统中,软件时序的数量和消息的数量,最能够反应了通信系统的复杂性时序图与状态图的结合,使得系统的逻辑分支更加的复杂时序图:反映的是线程间或对象间的消息或事件的交互状态图:反映的是线程内或对象内的状态转换通信系统中,定义了大量的进程、线程。
几次由于软件失误造成的航天事故
bbs598598的专栏
07-14 6458
1. Ariane 5  爆炸, 调查小组后来分析是由于导航软件部分的一个类型转行造成的,将一个64位的浮点数转换成了16位的有符号整数。     2. Mars Pathfinder到达火星后不久,持续不断的重启,当时很多人都以为是因为系统做的工作太多,超负荷了才不断重启的。但在后来的一次IEEE Real-Time Systems Symposium会议上,VxWorks(pathfind
嵌入式系统C编程之错误处理
01-30
本文主要总结嵌入式系统C语言编程中,主要的错误处理方式。文中涉及的代码运行环境如下:从严重性而言,程序错误可分为致命性和非致命性两类。对于致命错误,无法执行恢复动作,最多只能在用户屏幕上打印出错消息...
嵌入式实时操作系统详细设计方案
08-08
监测管理功能在响应致命错误时将重启区间或者停止区间的运行。 A-RTOS的设计思路中,隔离和保护机制是首要强调的特性。A-RTOS主要采用两种方式来实现应用与内核以及应用之间的隔离和保护。第一种方式是使用内存...
高性能分布式日志系统研究与设计.pdf
08-08
日志按时间顺序组织,分为系统日志、应用日志、安全日志等不同类别,具有调试、提示、告警、错误致命等不同优先级。为了方便管理和维护,这些日志需要汇总到日志服务器上。 然而,现有的分布式日志系统面临一系列...
行业分类-设备装置-机载嵌入式软件开发平台.zip
09-12
- 安全性:遵循DO-178C等航空软件安全标准,确保软件无致命错误。 - 可维护性:便于更新和修复,以应对新的需求或技术发展。 - 硬件兼容性:适应多种航空电子设备,确保软硬件协同工作。 3. 开发流程: - 需求...
经常见的c语言错误集锦
09-17
##### 错误致命错误 1. **括号缺失**:“复合语句或数组初始化的结尾缺少‘)’;‘(’。”确保所有的括号都正确配对,以避免编译器混乱。 2. **switch结构问题**:“不属于Switch结构,多由于switch结构中的花...
Git安全漏洞检查CVE-2021-21300
GitCode
03-16 2240
CVE-2021-21300 安全漏洞检查 本项目模拟一个利用CVE-2021-21300漏洞执行仓库内恶意脚本的行为,如果您的git客户端有 CVE-2021-21300 的安全漏洞,执行 git clone 本仓库时会输出以下内容 CVE-2021-21300 detected !!! Please update your git to fix the vulnerability CVE-2021-21300 影响分析 由于对 symbolic links 处理的问题,导致在不区分大小写的文件系统例
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
热门推荐
爱国小白帽
07-09 1万+
0x00 前言 近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。 0x01 漏洞复现 这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
CVE-2020-2021:SAML身份验证机制绕过漏洞通告
爱国小白帽
06-30 3521
CVE-2020-2021:SAML身份验证机制绕过漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年06月30日, 360CERT监测发现Palo Alto官方发布了SAML身份验证机制绕过的风险通告,该漏洞编号为CVE-2020-2021,漏洞等级:高危。 安全声明标记语言(SAML)是用于根据用户在另一上下文中的会话将其登录到当前应用程序中的标准。 SAML身份验证机制存在身份验证绕过的威胁。当SAML开启,同时Vali
消费者物联网:漏洞披露实践“低得无法接受”
qq_40234985的博客
12-03 6219
物联网安全基金会的一份新报告强调,近 80% 的消费者物联网 (IoT) 公司没有使用漏洞披露来报告安全问题。这项措施被视为供应商对安全性的重视程度的代表,这清楚地表明,要帮助消费者在设备连接到互联网时保持安全,还有很长的路要走。 该报告是 2018 年开始的系列报告中的第四份,研究了消费者物联网中漏洞披露的实践——扩展到企业和 B2B 模型。它通常被视为该行业的网络安全进度晴雨表,因为漏洞披露 - 或在公共渠道宣传可以报告并修复安全漏洞 - 被认为是任何公司向互联市场销售产品的基本卫生机制。 然而,报告称
选择代码覆盖工具的 10 个标准
qq_40234985的博客
09-14 5069
为了开发安全可靠的软件,测试是质量保证中不可或缺的一部分。如果没有充分和记录在案的测试,就不可能确定软件是否安全且功能正确。在这种情况下,代码覆盖率(测试覆盖率)的测量尤为重要。这是因为它可以用来确定一个软件已经被测试的全面程度。代码覆盖率表示测试代码占总代码的比例。例如,简单来说,如果在测试期间运行四分之三的选项,代码覆盖率为 75%。 特别是在安全关键的软件开发中,行业标准对代码覆盖率提出了精确的要求,因此如果没有足够的测试覆盖率证明,产品就无法在这里获得认证。而且在其他开发项目中,公司越来越重视软件质
CES 2022:NXP 首款用于 L2+ 的安全三无线电设备和 4D 成像雷达
qq_40234985的博客
01-11 4925
NXP Semiconductors 的 CES 2022 公告旨在通过安全的三无线电设备系列实现物联网连接,以支持 Wi-Fi 6、蓝牙 5.2 和 802.15.4 协议,以及对其汽车雷达产品组合的新更新,这些产品现在服务于 L2+ 至 L5 自治带有 4D 成像雷达的扇区,用于 360 度环绕感测。 对于物联网,该公司发布了 IW612,据称这是业界首款支持 Wi-Fi 6、蓝牙 5.2 和 802.15.4 协议的安全三无线电设备。作为恩智浦新的三无线电产品系列的一部分,新设备可为智能家居、汽车和工
嵌入式开发必须改变以简化物联网上云
qq_40234985的博客
10-23 4673
传统的嵌入式开发已死。计算孤立岛的概念不再相关,所有应用程序都应被视为“边缘处理”,无论粗细,都应回到集中处理资源进行分析。或者至少这是最近几个月在整个行业中传播的理论。随着应用程序从传统嵌入式设备迅速过渡到面向云的边缘计算节点,本文着眼于必须如何改变方法,以满足日益增长的将云连接集成到开发和制造过程中的需求,并创建无缝安全的供应链用于物联网 (IoT)。 现实当然更加微妙和分散,嵌入式市场需要多年时间才能整合新概念,而且几十年来对闪存技术的承诺支持几乎没有兴趣。然而,一个明确的现实是,我们的许多嵌入式系统
Imagination NNA 为 UNISOC 5G 智能手机芯片提供动力
qq_40234985的博客
01-11 3834
Imagination Technologies 表示,无晶圆半导体公司紫光展锐正在新的唐古拉 T770 和 T760 5G 智能手机芯片中使用其 Series3NX 神经网络加速器 (NNA) IP。这是两家公司多年来在人工智能和图形处理领域持续合作的一部分。 紫光展锐的 Tanggula T770 和 T760 片上系统 (SoC) 使用 Imagination 的 PowerVR AX3596 NNA 内核来提供先进的 AI 功能。根据紫光展锐的规格,T770支持1.08亿像素高清摄像头,超强图像解析
嵌入式系统安全挑战与法规应对
例如,480+款固件检测出16000+个安全风险,平均每款IoT设备有超过33个安全风险,其中严重和高危风险占比超过50%。第三方库的Nday安全风险占比较大,达90%。 随着UNECE WP.29通过的车辆信息安全法规,对汽车制造商...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值