前期不久����,Semtech發(fā)布了相關(guān)安全性建議通知和協(xié)議棧,�,其中維護(hù)了一個(gè)名為L(zhǎng)oRaMAC-Node的開(kāi)源LoRaWAN?協(xié)議棧,用于開(kāi)發(fā)人員使用LoRaWAN協(xié)議來(lái)構(gòu)建設(shè)備����。并非市場(chǎng)上唯一的LoRaWAN協(xié)議棧,其它開(kāi)源或商業(yè)應(yīng)用的實(shí)現(xiàn)都使用不同的代碼庫(kù)��。
LoRa協(xié)議棧采用了 MAC-Node協(xié)議棧開(kāi)源許可的授權(quán)方式�,因此數(shù)千開(kāi)發(fā)人員已經(jīng)閱讀了代碼���、提出了問(wèn)題并提供了改進(jìn)建議���。同時(shí),Semtech鼓勵(lì)業(yè)界人士向Semtech反映我們?cè)陂_(kāi)源許可下提供的代碼中的任何錯(cuò)誤���,無(wú)論其是否與安全性相關(guān)�。
在最近的一個(gè)具體實(shí)例中�����,騰訊團(tuán)隊(duì)在LoRa協(xié)議棧中發(fā)現(xiàn)了一個(gè)漏洞��,并遵從行業(yè)共識(shí)準(zhǔn)則���,迅速將該問(wèn)題反饋給了Semtech團(tuán)隊(duì)�����。他們直接提醒我們����,而不是通過(guò)公共論壇,使得我們能夠在兩天內(nèi)快速開(kāi)發(fā)了修復(fù)程序��,并在完全驗(yàn)證之后發(fā)布了包含修復(fù)程序的LoRaMAC-Node協(xié)議棧的更新版本�����。
騰訊團(tuán)隊(duì)發(fā)現(xiàn)的漏洞是在LoRaMAC-Node協(xié)議棧中��,而不是在LoRaWAN協(xié)議規(guī)范之中����。LoRaWAN規(guī)范是由LoRa聯(lián)盟(LoRaAlliance?)技術(shù)委員會(huì)專家團(tuán)隊(duì)來(lái)編寫和維護(hù),從一開(kāi)始就將安全性和隱私置于LoRaWAN協(xié)議設(shè)計(jì)的核心�����。LoRaWAN規(guī)范也經(jīng)歷了大量的安全性審查���,既包括該技術(shù)委員會(huì)的審查,也包括多家業(yè)界認(rèn)可的信息安全公司的審核�����。這些審核結(jié)果或被視為可用的規(guī)范改進(jìn)��,或最佳實(shí)踐建議。
近期發(fā)現(xiàn)的這個(gè)安全漏洞屬于“拒絕服務(wù)”類別��,這意味著攻擊者可能在設(shè)備連接到網(wǎng)絡(luò)的過(guò)程中進(jìn)行了干擾�����。
然而��,在任何時(shí)候�,用戶的數(shù)據(jù)都不會(huì)被這個(gè)bug暴露(因此沒(méi)有隱私泄露發(fā)生)。而且���,無(wú)法利用攻擊來(lái)控制設(shè)備���、向設(shè)備中注入代碼或從設(shè)備中提取安全信息。
Seamtech已經(jīng)為該安全漏洞申請(qǐng)了一個(gè)通用漏洞列表(CVE)條目���。這是一個(gè)集中式存儲(chǔ)庫(kù)���,互聯(lián)網(wǎng)中最大的和最常用的開(kāi)源項(xiàng)目都會(huì)在其中披露已發(fā)現(xiàn)的漏洞,這樣用戶就可以在這個(gè)地方檢查可能會(huì)影響他們正在使用的代碼的漏洞���。點(diǎn)擊以下鏈接可以更深入了解CVE和漏洞的負(fù)責(zé)任披露:cve.mitre.org
今天的分享就到這里啦����,EBYTE每一天都致力于更好的助力物聯(lián)化、智能化���、自動(dòng)化的發(fā)展���,提升資源利用率,更多產(chǎn)品更多資料�����,感興趣的小伙伴可以登錄我們的億佰特官網(wǎng)進(jìn)行了解��,也可以直接撥打4000-330-990電話咨詢技術(shù)專員�!
