IoT固件安全检测(简称FSS),主要提供IoT设备固件的安全检测服务,检测设备固件的安全风险,如已知软件CVE漏洞、敏感信息等,并提供安全修复建议。FSS提升了IoT设备安全强度以及各种IoT设备的基础安全水位,有效降低厂商因固件漏洞导致的更新、回收以及OTA版本升级。
准备工作
使用阿里云账号下的AccessKey ID和AccessKey Secret访问FSS开放接口。
为RAM用户生成AccessKey ID和AccessKey Secret,使用生成的AccessKey ID和AccessKey Secret访问FSS开放接口。具体操作,请参见阿里云RAM访问控制RAM鉴权。
使用说明
FSS支持阿里云账号和RAM用户,提供三种方式进行固件的安全检测:
固件大小不超过1GB。
支持
.zip、.bin、.elf、.hex、.rar、.img、.so、.tar、.gz、.tar.gz、.gzip格式的固件文件。如果检测时提示没有可用的检测次数,请申请检测次数。
功能特点
FSS支持Linux、RTOS两大类固件,包括且不限于Yocto、OpenWrt、uClinux、Android、AliOS Things等,提供固件的安全检测、查看检测报告等功能。
当前检测能力覆盖CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全5大类型。详细的安全威胁检测能力如下表所示。
分类 | 风险名称 | 是否支持Linux | 是否支持RTOS(AOS) | 是否支持免费检测 |
|---|---|---|---|---|
CVE漏洞 | 开源组件CVE漏洞检测 | 是 | 是 | 是 |
Linux发行版软件包漏洞 | 是 | 否 | 是 | |
配置风险 | 系统弱密码检测 | 是 | 否 | 是 |
非必要软件检测 | 是 | 否 | 否 | |
远程管理软件风险 | 是 | 否 | 否 | |
公开AOS Secret检测 | 否 | 是 | 是 | |
阿里云IoT-LV_SDK传输加密配置 | 是 | 否 | 是 | |
密钥安全 | 私钥安全检测 | 是 | 是 | 否 |
证书安全检测 | 是 | 是 | 否 | |
敏感信息泄露 | SVN信息泄露 | 是 | 否 | 是 |
Git信息泄露 | 是 | 否 | 是 | |
vi/vim信息泄露 | 是 | 否 | 是 | |
备份文件泄露 | 是 | 否 | 是 | |
临时文件泄露 | 是 | 否 | 是 | |
源代码泄露 | 是 | 否 | 是 | |
二进制文件中的信息泄露 | 是 | 是 | 是 | |
AOS Secret明文存储检测 | 否 | 是 | 是 | |
配置文件中敏感数据明文存储 | 是 | 否 | 是 | |
代码安全 | 不安全库函数使用检测 | 是(上传单个Elf) | 是(上传单个Elf) | 否 |
已被破解或有风险的加密算法 | 是 | 否 | 否 |
应用场景
安全开发流程(SDLC):IoT设备厂商可将FSS嵌入在安全开发流程中,在发布前上传设备固件,导出安全检测报告,根据安全检测报告的建议完成修复、更新设备固件。
设备固件升级:IoT设备厂商或OTA厂商上传设备固件升级包,固件检测服务检测并导出安全检测报告,根据安全检测报告的建议完成修复、更新设备升级包。
固件安全评估:安全检测机构或IT供应链管理人员将固件提交FSS,获取安全检测报告,根据检测结果评估固件的安全风险等级。
通过FSS控制台开启检测
登录IoT安全中心控制台。
在左侧导航栏选择接入管理 > 固件安全检测。
在固件安全检测页面,配置相关参数并选择获取设备固件的方式。
上传固件:需要您选择要检测的固件文件进行上传。
固件地址:您需要输入固件的URL(仅支持阿里云OSS地址),任务启动后会自动下载该固件并执行检测任务。
配置完成后,单击开始检测,确认固件信息,勾选我已阅读,并确认以上声明,单击开始检测。
查看检测报告
当检测任务状态为任务完成,则可以查看检测报告。
单击查看报告,在线查看检测报告结果。
单击下载报告,下载检测报告结果到本地查看。