物联网安全有多重要?

一个名为CVE-2020-15858的Java漏洞早在2019年就被发现，并从2月开始提供修复程序。现在，IBMs安全团队X-Force Red正在敦促制造商更新易受攻击的EHS8模块。

物联网安全有多重要？

随着物联网设备数量的迅速增加，以及与日常生活的日益融合，物联网设备的安全性变得前所未有的重要。由于双核和四核soc，过去用来发送良性信息的设备现在能够流式传输视频和处理人工智能算法，同时有足够的处理空间在后台运行应用程序。因此，现代物联网设备可用于各种恶意应用，包括DDoS攻击、加密挖掘、监视、网络侧链攻击和个人信息盗窃。

物联网设备在过去曾遭受过多次攻击，设计人员和用户很容易忽视物联网设备的安全性的一个典型例子就是，赌场网络被黑客入侵，玩家数据被盗。

此类攻击表明了安全性的重要性，当发现缺陷时，制造商和所有者都必须对其产品进行更新，以防受到此类攻击。当然，其他安全措施，如不使用常用密码、默认密码或将敏感数据存储在不受保护的内存区域，也大大有助于加强系统。

什么是EHS8模块？

EHS8模块是一个集成Java ME 3.2客户端运行时的模块，用于需要蜂窝连接的全球物联网应用程序。EHS8还集成了GPS、干扰检测、高级温度管理、嵌入式TCP/IP堆栈和USB控制器，允许创建各种不同的设计，包括工业、商业和住宅环境中的设计。

2G和3G连接的使用允许下行连接速度高达7.2Mbps，上行速度达到5.7Mbps。虽然这些在现代标准看来可能很低，但物联网设备设计为一次发送数百字节，这样的速度确保了数据包在最小延迟下快速发送和接收。该模块25.4毫米x 27.6毫米的小尺寸使其成为物联网设备的理想候选者，使用Java运行时可以快速开发应用程序，易于维护，代码可重用性高。

什么是CVE-2020-15858漏洞？

早在2019年9月，名为X-Force Red的IBMs精英黑客团队在EHS8 M2M模块中发现了一个漏洞，该模块目前正被数百万台设备使用。该漏洞被称为CVE-2020-15858，影响EHS8模块安全存储敏感信息的能力，并能够查看内存中未经授权用户不允许查看的区域中的代码和数据。该漏洞的问题在于，它允许攻击者危害设备，通过对核心代码进行逆向工程获得知识产权，获取密码和加密密钥。

该漏洞的根本原因与该模块如何与AT命令（如ESP32和ESP8266模块）一起使用有关。这些命令不使用Java，本质上是“低级”的，由于这些命令可以通过UART发送，所以可以访问UART的Java应用程序可以绕过它下面的任何运行时。如果应用程序能够访问AT命令结构，它可以使用包括ATI（获取制造商详细信息）或ATD（拨打号码）在内的所有命令。

由于EHS8（以及同一生产线的其他产品也受到影响）被广泛的不同应用所使用，包括医疗和能源，攻击者能够影响这些设备的读数，这可能隐藏问题事件或产生错误警报。同样的设备，如果用在智能电表上，可能会减少用户的账单，或者更糟的是，荒谬地增加账单。
责任编辑:tzh