LoRaWAN协议栈首曝通用安全漏洞,数亿物联网设备倍感“威胁”

雷锋网消息,近日,腾讯安全平台团队Tencent Blade Team发现并向Semtech报告了LoRaWAN协议栈通用安全漏洞——LoRaDawn。据悉,这也是目前首个在LoRaWAN协议栈实现软件中发现的、影响范围极其广泛的通用安全漏洞。

今年4月初,腾讯向Semtech提交报告,Tencent Blade Team描述了该漏洞的具体成因。当前发现的LoRaDawn安全漏洞主要存在于LoRaMac-Node(由Semtech开发的LoRaWAN协议栈实现),该软件在解析下行无线电数据包时存在缺陷,导致内存破坏。利用LoRaDawn,可以突破LoRaWAN协议的安全防护机制,对LoRaWAN节点发起远程攻击。目前市场上大部分的LoRaWAN节点设备都将受到影响,具有极高的公共安全风险。

据腾讯官方表示,针对LoRaDawn造成的安全风险,Tencent Blade Team提供了相应的修复建议,包括增加对恶意数据包的过滤机制,增强协议栈的安全性等。目前漏洞已被Semtech官方确认并在最新发布的版本中进行修复。

LoRa是当下主流物联网连接技术之一,与NB-IoT同为当下关注度很高的低功耗广域网,具有广覆盖、大连接、低功耗、低成本等物联网特性,目前在中国广泛应用于智能表计、智慧安防、智慧家居/楼宇、智慧农业、智慧社区、智能物流管理等垂直领域。据公开数据显示,截至2019年底,在LoRaWAN网络下已有7.3亿的设备连接,使用场景丰富。而Semtech正是LoRa联盟主要创始成员之一。

据雷锋网了解,早在2018年,谷歌、阿里、京东等均以最高级别会员的身份加入LoRa联盟,希望借助LoRa为切入点来确立自身在物联网和产业互联网领域的地位。

同样是在这一年,LoRa联盟与腾讯联合宣布,腾讯以最高级别会员身份加入LoRa联盟,并将支持LoRaWAN生态系统的进一步发展。此外,还宣布计划在深圳与当地合作伙伴共同建立一个LoRaWAN网络,为各种物联网应用和终端用户提供从设备、边缘到云端的LoRaWAN一体化解决方案。

此外,腾讯在2019年9月18日也曾对外宣布,将自主研发的轻量级物联网实时操作系统TencentOS tiny正式开源,这一开源操作系统同时也集成了LoRaWAN开源协议栈,这一系统也正是由Tencent Blade Team团队提供安全保障,保障在该系统运行环境下使用LoRa技术的物联网端侧设备和应用安全。

Tencent Blade Team是腾讯旗下安全技术研究团队,目前已向Apple、Amazon、Google、Microsoft、Adobe等诸多国际知名公司报告并协助修复了200多个安全漏洞,2019年底,曾深度参与由腾讯牵头提出并立项的国际电信联盟标准《物联网异构设备的数据安全要求》。

而针对此次Tencent Blade Team发现并向Semtech提交LoRaWAN协议栈通用安全漏洞相关报告,Semtech公司CTO Nicolas Sornin专程向腾讯安全平台团队Tencent Blade Team发来了感谢信。

雷锋网雷锋网(公众号:雷锋网)

雷锋网原创文章,未经授权禁止转载。详情见转载须知

LoRaWAN协议栈首曝通用安全漏洞,数亿物联网设备倍感“威胁”

(完)