LoRaWAN協議棧首曝通用安全漏洞,數億物聯網設備倍感“威脅”
雷鋒網消息,近日,騰訊安全平台團隊Tencent Blade Team發現並向Semtech報告了LoRaWAN協議棧通用安全漏洞——LoRaDawn。據悉,這也是目前首個在LoRaWAN協議棧實現軟件中發現的、影響範圍極其廣泛的通用安全漏洞。
今年4月初,騰訊向Semtech提交報告,Tencent Blade Team描述了該漏洞的具體成因。當前發現的LoRaDawn安全漏洞主要存在於LoRaMac-Node(由Semtech開發的LoRaWAN協議棧實現),該軟件在解析下行無線電數據包時存在缺陷,導致內存破壞。利用LoRaDawn,可以突破LoRaWAN協議的安全防護機制,對LoRaWAN節點發起遠程攻擊。目前市場上大部分的LoRaWAN節點設備都將受到影響,具有極高的公共安全風險。
據騰訊官方表示,針對LoRaDawn造成的安全風險,Tencent Blade Team提供了相應的修復建議,包括增加對惡意數據包的過濾機制,增強協議棧的安全性等。目前漏洞已被Semtech官方確認並在最新發布的版本中進行修復。
LoRa是當下主流物聯網連接技術之一,與NB-IoT同為當下關注度很高的低功耗廣域網,具有廣覆蓋、大連接、低功耗、低成本等物聯網特性,目前在中國廣泛應用於智能表計、智慧安防、智慧家居/樓宇、智慧農業、智慧社區、智能物流管理等垂直領域。據公開數據顯示,截至2019年底,在LoRaWAN網絡下已有7.3億的設備連接,使用場景豐富。而Semtech正是LoRa聯盟主要創始成員之一。
據雷鋒網瞭解,早在2018年,谷歌、阿里、京東等均以最高級別會員的身份加入LoRa聯盟,希望藉助LoRa為切入點來確立自身在物聯網和產業互聯網領域的地位。
同樣是在這一年,LoRa聯盟與騰訊聯合宣佈,騰訊以最高級別會員身份加入LoRa聯盟,並將支持LoRaWAN生態系統的進一步發展。此外,還宣佈計劃在深圳與當地合作伙伴共同建立一個LoRaWAN網絡,為各種物聯網應用和終端用户提供從設備、邊緣到雲端的LoRaWAN一體化解決方案。
此外,騰訊在2019年9月18日也曾對外宣佈,將自主研發的輕量級物聯網實時操作系統TencentOS tiny正式開源,這一開源操作系統同時也集成了LoRaWAN開源協議棧,這一系統也正是由Tencent Blade Team團隊提供安全保障,保障在該系統運行環境下使用LoRa技術的物聯網端側設備和應用安全。
Tencent Blade Team是騰訊旗下安全技術研究團隊,目前已向Apple、Amazon、Google、Microsoft、Adobe等諸多國際知名公司報告並協助修復了200多個安全漏洞,2019年底,曾深度參與由騰訊牽頭提出並立項的國際電信聯盟標準《物聯網異構設備的數據安全要求》。
而針對此次Tencent Blade Team發現並向Semtech提交LoRaWAN協議棧通用安全漏洞相關報告,Semtech公司CTO Nicolas Sornin專程向騰訊安全平台團隊Tencent Blade Team發來了感謝信。
雷鋒網雷鋒網