前期不久,Semtech發(fā)布了相關(guān)安全性建議通知和協(xié)議棧��,����,其中維護(hù)了一個名為LoRaMAC-Node的開源LoRaWAN?協(xié)議棧,用于開發(fā)人員使用LoRaWAN協(xié)議來構(gòu)建設(shè)備�����。并非市場上唯一的LoRaWAN協(xié)議棧��,其它開源或商業(yè)應(yīng)用的實(shí)現(xiàn)都使用不同的代碼庫����。
LoRa協(xié)議棧采用了 MAC-Node協(xié)議棧開源許可的授權(quán)方式�,因此數(shù)千開發(fā)人員已經(jīng)閱讀了代碼、提出了問題并提供了改進(jìn)建議�。同時�,Semtech鼓勵業(yè)界人士向Semtech反映我們在開源許可下提供的代碼中的任何錯誤���,無論其是否與安全性相關(guān)���。
在最近的一個具體實(shí)例中,騰訊團(tuán)隊(duì)在LoRa協(xié)議棧中發(fā)現(xiàn)了一個漏洞���,并遵從行業(yè)共識準(zhǔn)則�,迅速將該問題反饋給了Semtech團(tuán)隊(duì)���。他們直接提醒我們�,而不是通過公共論壇��,使得我們能夠在兩天內(nèi)快速開發(fā)了修復(fù)程序����,并在完全驗(yàn)證之后發(fā)布了包含修復(fù)程序的LoRaMAC-Node協(xié)議棧的更新版本。
騰訊團(tuán)隊(duì)發(fā)現(xiàn)的漏洞是在LoRaMAC-Node協(xié)議棧中����,而不是在LoRaWAN協(xié)議規(guī)范之中。LoRaWAN規(guī)范是由LoRa聯(lián)盟(LoRaAlliance?)技術(shù)委員會專家團(tuán)隊(duì)來編寫和維護(hù)�����,從一開始就將安全性和隱私置于LoRaWAN協(xié)議設(shè)計(jì)的核心���。LoRaWAN規(guī)范也經(jīng)歷了大量的安全性審查��,既包括該技術(shù)委員會的審查�����,也包括多家業(yè)界認(rèn)可的信息安全公司的審核��。這些審核結(jié)果或被視為可用的規(guī)范改進(jìn)�,或最佳實(shí)踐建議�����。
近期發(fā)現(xiàn)的這個安全漏洞屬于“拒絕服務(wù)”類別��,這意味著攻擊者可能在設(shè)備連接到網(wǎng)絡(luò)的過程中進(jìn)行了干擾���。
然而�����,在任何時候�,用戶的數(shù)據(jù)都不會被這個bug暴露(因此沒有隱私泄露發(fā)生)。而且����,無法利用攻擊來控制設(shè)備、向設(shè)備中注入代碼或從設(shè)備中提取安全信息�。
Seamtech已經(jīng)為該安全漏洞申請了一個通用漏洞列表(CVE)條目。這是一個集中式存儲庫�����,互聯(lián)網(wǎng)中最大的和最常用的開源項(xiàng)目都會在其中披露已發(fā)現(xiàn)的漏洞����,這樣用戶就可以在這個地方檢查可能會影響他們正在使用的代碼的漏洞。點(diǎn)擊以下鏈接可以更深入了解CVE和漏洞的負(fù)責(zé)任披露:cve.mitre.org
今天的分享就到這里啦�,EBYTE每一天都致力于更好的助力物聯(lián)化、智能化��、自動化的發(fā)展��,提升資源利用率�,更多產(chǎn)品更多資料,感興趣的小伙伴可以登錄我們的億佰特官網(wǎng)進(jìn)行了解,也可以直接撥打4000-330-990電話咨詢技術(shù)專員�����!
