Top
首页 > 正文

LoRaWAN协议栈首曝通用漏洞,发现者:腾讯

近日,全球主流物联网协议LoRa核心技术专利的拥有者、LoRa联盟发起者之一Semtech公司CTO Nicolas Sornin,专程向腾讯安全平台团队Tencent Blade Team发来感谢信,致谢其发现并向Semtech报告的LoRaWAN协议栈通用安全漏洞——LoRaDawn,并期待未来与Tencent Blade Team的合作。
发布时间:2020-06-18 17:49        来源:赛迪网        作者:

近日来,国家连续出台多项“新基建”相关政策,大力推动以物联网、5G、AI等为代表的新型基础设施建设。作为“新基建”信息基础设施的重要构成部分,物联网行业利好不断;同时,物联网与5G、人工智能、工业互联网等“新基建”版块关联密切,应用前景广阔;5G技术的蓬勃发展,也为物联网行业注入新的动能。

可以看到,能联网的家电、会唱歌的音箱、自动开启的路灯、智能识别的停车场……万物互联的时代正在到来。如何保证万物“安全”通信,也成为当下人人相关、备受关注的话题。

LoRaWAN协议栈首个通用漏洞,可影响全球数亿物联网设备

近日,全球主流物联网协议LoRa核心技术专利的拥有者、LoRa联盟发起者之一Semtech公司CTO Nicolas Sornin,专程向腾讯安全平台团队Tencent Blade Team发来感谢信,致谢其发现并向Semtech报告的LoRaWAN协议栈通用安全漏洞——LoRaDawn,并期待未来与Tencent Blade Team的合作。

据悉,这也是目前首个在LoRaWAN协议栈实现软件中发现的、影响范围极其广泛的通用安全漏洞。

在4月初向Semtech提交的报告中,Tencent Blade Team描述了该漏洞的具体成因。当前发现的LoRaDawn安全漏洞主要存在于LoRaMac-Node(由Semtech开发的LoRaWAN协议栈实现),该软件在解析下行无线电数据包时存在缺陷,导致内存破坏。利用LoRaDawn,可以突破LoRaWAN协议的安全防护机制,对LoRaWAN节点发起远程攻击。目前市场上大部分的LoRaWAN节点设备都将受到影响,具有极高的公共安全风险。

针对LoRaDawn造成的安全风险,Tencent Blade Team提供了相应的修复建议,包括增加对恶意数据包的过滤机制,增强协议栈的安全性等。目前漏洞已被Semtech官方确认并在最新发布的版本中进行修复。

此外,Tencent Blade Team也关注到LoRaWAN生态产业上存在的安全问题,报告了存在于LoRaWAN网关实现以及核心网部署的安全风险。集成LoRaWAN开源协议栈,并于2019年底重磅开源的腾讯物联网操作系统TencentOS Tiny,也与Tencent Blade Team持续深度合作,保障使用LoRa技术的物联网端侧设备和应用安全,共同促进物联网行业生态持续发展,助力整个物联网生态安全的共建。

腾讯加速布局物联网,推动LoRa技术应用

LoRa是当前全球主流的物联网连接技术之一,广泛应用于智慧城市、工业物联网等领域。从2013年Semtech公司发布第一代商用LoRa芯片以来,LoRa技术凭借其低功耗、远距离等技术优势,近几年在全球物联网行业被广泛应用,基于LoRa定制的LoRaWAN标准也逐步成为LPWAN(低功耗广域网)的事实标准。

LoRaWAN协议是由LoRa联盟推动的一种低功耗广域网协议,2015年,由Semtech联合Actility、Cisco和IBM等多家厂商共同发起创立LoRa联盟,将LoRaWAN进行了标准化,以确保不同国家的LoRa网络可以互操作,腾讯也是LoRa 联盟的主要成员之一。据公开数据显示,截至2019年底,在LoRaWAN网络下已有7.3亿的设备连接,使用场景丰富。

目前,LoRa在中国也已形成了中国联通、中国铁塔等运营商、腾讯、阿里、京东等互联网企业以及解决方案商、模块提供商和网关制造商等在内的丰富生态体系。

腾讯作为 LoRa 技术的重要共建者,通过腾讯云物联网开发平台提供 LoRaWAN 物联网络接入能力,及一站式的物联网全链条服务。全球合作伙伴及开发者可通过腾讯开放共享的LoRa 社区网络,包括腾讯在深圳自建的数百个LoRa网关,就近完成 LoRaWAN 设备接入,大幅降低部署成本和使用门槛。

建设行业标准,守护物联网安全生态

作为腾讯旗下的前瞻安全技术研究团队,Tencent Blade Team此前曾突破性的报告了TensorFlow的前七个漏洞,引发业界对深度学习框架安全性问题的重视,并率先发现Google Home、亚马逊Echo等智能音箱的窃听风险,引发广泛关注。在人工智能、物联网、移动互联网、云虚拟化技术、区块链等前沿技术领域,Tencent Blade Team都积累了丰富的研究成果,目前已向Apple、Amazon、Google、Microsoft、Adobe等诸多国际知名公司报告并协助修复了200多个安全漏洞。

与此同时,Tencent Blade Team也将研究成果与腾讯丰富的业务场景相结合,致力于提升腾讯产品的安全性、守护用户安全。2019年底,Tencent Blade Team就深度参与了由腾讯牵头提出并成功立项的国际电信联盟标准《物联网异构设备的数据安全要求》,旨在为智慧城市物联网场景下的数据安全挑战提供必要的技术保障。与此同时,Tencet Blade Team还将团队多年的研究成果落地为《腾讯物联网安全技术规范》,并转化为企业标准,将安全能力开放给合作伙伴,共建安全生态。

每日必读

专题访谈

合作站点