前期不久,Semtech发布了相关安全性建议通知和协议栈,,其中维护了一个名为LoRaMAC-Node的开源LoRaWAN®协议栈,用于开发人员使用LoRaWAN协议来构建设备。并非市场上唯一的LoRaWAN协议栈,其它开源或商业应用的实现都使用不同的代码库。
LoRa协议栈采用了 MAC-Node协议栈开源许可的授权方式,因此数千开发人员已经阅读了代码、提出了问题并提供了改进建议。同时,Semtech鼓励业界人士向Semtech反映我们在开源许可下提供的代码中的任何错误,无论其是否与安全性相关。
在最近的一个具体实例中,腾讯团队在LoRa协议栈中发现了一个漏洞,并遵从行业共识准则,迅速将该问题反馈给了Semtech团队。他们直接提醒我们,而不是通过公共论坛,使得我们能够在两天内快速开发了修复程序,并在完全验证之后发布了包含修复程序的LoRaMAC-Node协议栈的更新版本。
腾讯团队发现的漏洞是在LoRaMAC-Node协议栈中,而不是在LoRaWAN协议规范之中。LoRaWAN规范是由LoRa联盟(LoRaAlliance®)技术委员会专家团队来编写和维护,从一开始就将安全性和隐私置于LoRaWAN协议设计的核心。LoRaWAN规范也经历了大量的安全性审查,既包括该技术委员会的审查,也包括多家业界认可的信息安全公司的审核。这些审核结果或被视为可用的规范改进,或最佳实践建议。
近期发现的这个安全漏洞属于“拒绝服务”类别,这意味着攻击者可能在设备连接到网络的过程中进行了干扰。
然而,在任何时候,用户的数据都不会被这个bug暴露(因此没有隐私泄露发生)。而且,无法利用攻击来控制设备、向设备中注入代码或从设备中提取安全信息。
Seamtech已经为该安全漏洞申请了一个通用漏洞列表(CVE)条目。这是一个集中式存储库,互联网中最大的和最常用的开源项目都会在其中披露已发现的漏洞,这样用户就可以在这个地方检查可能会影响他们正在使用的代码的漏洞。点击以下链接可以更深入了解CVE和漏洞的负责任披露:cve.mitre.org
今天的分享就到这里啦,EBYTE每一天都致力于更好的助力物联化、智能化、自动化的发展,提升资源利用率,更多产品更多资料,感兴趣的小伙伴可以登录我们的亿佰特官网进行了解,也可以直接拨打4000-330-990电话咨询技术专员!
