文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

全球数亿物联网设备受影响!腾讯报告首个LoRaWAN协议栈通用漏洞

2024-12-11 20:47

关注

可以看到,能联网的家电、会唱歌的音箱、自动开启的路灯、智能识别的停车场……万物互联的时代正在到来。如何保证万物“安全”通信,也成为当下人人相关、备受关注的话题。

LoRaWAN协议栈首个通用漏洞,可影响全球数亿物联网设备

近日,全球主流物联网协议LoRa核心技术专利的拥有者、LoRa联盟发起者之一Semtech公司CTO Nicolas Sornin,专程向腾讯安全平台团队Tencent Blade Team发来感谢信,致谢其发现并向Semtech报告的LoRaWAN协议栈通用安全漏洞——LoRaDawn,并期待未来与Tencent Blade Team的合作。

据悉,这也是目前首个在LoRaWAN协议栈实现软件中发现的、影响范围极其广泛的通用安全漏洞。

在4月初向Semtech提交的报告中,Tencent Blade Team描述了该漏洞的具体成因。当前发现的LoRaDawn安全漏洞主要存在于LoRaMac-Node(由Semtech开发的LoRaWAN协议栈实现),该软件在解析下行无线电数据包时存在缺陷,导致内存破坏。利用LoRaDawn,可以突破LoRaWAN协议的安全防护机制,对LoRaWAN节点发起远程攻击。目前市场上大部分的LoRaWAN节点设备都将受到影响,具有极高的公共安全风险。

针对LoRaDawn造成的安全风险,Tencent Blade Team提供了相应的修复建议,包括增加对恶意数据包的过滤机制,增强协议栈的安全性等。目前漏洞已被Semtech官方确认并在最新发布的版本中进行修复。

此外,Tencent Blade Team也关注到LoRaWAN生态产业上存在的安全问题,报告了存在于LoRaWAN网关实现以及核心网部署的安全风险。集成LoRaWAN开源协议栈,并于2019年底重磅开源的腾讯物联网操作系统TencentOS Tiny,也与Tencent Blade Team持续深度合作,保障使用LoRa技术的物联网端侧设备和应用安全,共同促进物联网行业生态持续发展,助力整个物联网生态安全的共建。

腾讯加速布局物联网,推动LoRa技术应用

LoRa是当前全球主流的物联网连接技术之一,广泛应用于智慧城市、工业物联网等领域。从2013年Semtech公司发布第一代商用LoRa芯片以来,LoRa技术凭借其低功耗、远距离等技术优势,近几年在全球物联网行业被广泛应用,基于LoRa定制的LoRaWAN标准也逐步成为LPWAN(低功耗广域网)的事实标准。

LoRaWAN协议是由LoRa联盟推动的一种低功耗广域网协议,2015年,由Semtech联合Actility、Cisco和IBM等多家厂商共同发起创立LoRa联盟,将LoRaWAN进行了标准化,以确保不同国家的LoRa网络可以互操作,腾讯也是LoRa 联盟的主要成员之一。据公开数据显示,截至2019年底,在LoRaWAN网络下已有7.3亿的设备连接,使用场景丰富。

目前,LoRa在中国也已形成了中国联通、中国铁塔等运营商、腾讯、阿里、京东等互联网企业以及解决方案商、模块提供商和网关制造商等在内的丰富生态体系。

腾讯作为 LoRa 技术的重要共建者,通过腾讯云物联网开发平台提供 LoRaWAN 物联网络接入能力,及一站式的物联网全链条服务。全球合作伙伴及开发者可通过腾讯开放共享的LoRa 社区网络,包括腾讯在深圳自建的数百个LoRa网关,就近完成 LoRaWAN 设备接入,大幅降低部署成本和使用门槛。

建设行业标准,守护物联网安全生态

作为腾讯旗下的前瞻安全技术研究团队,Tencent Blade Team此前曾突破性的报告了TensorFlow的前七个漏洞,引发业界对深度学习框架安全性问题的重视,并率先发现Google Home、亚马逊Echo等智能音箱的窃听风险,引发广泛关注。在人工智能、物联网、移动互联网、云虚拟化技术、区块链等前沿技术领域,Tencent Blade Team都积累了丰富的研究成果,目前已向Apple、Amazon、Google、Microsoft、Adobe等诸多国际知名公司报告并协助修复了200多个安全漏洞。

与此同时,Tencent Blade Team也将研究成果与腾讯丰富的业务场景相结合,致力于提升腾讯产品的安全性、守护用户安全。2019年底,Tencent Blade Team就深度参与了由腾讯牵头提出并成功立项的国际电信联盟标准《物联网异构设备的数据安全要求》,旨在为智慧城市物联网场景下的数据安全挑战提供必要的技术保障。与此同时,Tencet Blade Team还将团队多年的研究成果落地为《腾讯物联网安全技术规范》,并转化为企业标准,将安全能力开放给合作伙伴,共建安全生态。

(附:感谢信中文翻译)

亲爱的Tencent Blade Team:
作为 Semtech的首席技术官(CTO),我很高兴你们通过发现和报告安全漏洞,并与 Semtech 合作解决这个问题,使得我们和LoRa相关的产品变得更加安全。

2020年4月14日,你们谨慎地向 Semtech 披露了 LoRaMAC-node 堆栈实现中的潜在缓冲区溢出问题,提供了完整的风险分析文档,并指出了修复该问题的可能性方案。我很高兴地宣布,Semtech 的技术团队已经确认了这个问题,并在最新发布的软件栈中修复了它。

你们将安全问题私密报告给Semtech ,并针对这个问题提供清晰详细的分析,堪称行为的典范,高度展示了Tencent Blade Team的正直诚信。为了感谢你们对提高我们产品安全性的支持,我谨正式感谢Tencent Blade Team,并期待着在未来与你们继续合作。

致以诚挚的问候

Nicolas Sornin
Semtech 公司首席技术官

 

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯