Специалисты выявили уязвимость в микроконтроллерах GigaDevice, произведённых в Китае, согласно исследованию, проведённому экспертами Positive Technologies.
Для защиты информации, хранящейся во флеш-памяти микроконтроллеров, используются технологии, которые предотвращают её чтение. Однако, как показали исследования чипов GigaDevice, эти технологии не всегда обеспечивают достаточный уровень защиты.
Микроконтроллеры используются в различных устройствах, таких как зарядные станции, автомобильные двигатели, аккумуляторы и системы контроля доступа, которые производятся компаниями из разных стран. Микроконтроллер — это микросхема, которая управляет работой электронных устройств. Они отвечают за логику работы различных устройств и встречаются повсеместно в современных умных девайсах, таких как современные автомобили, умные холодильники и другие.
Для создателей конечных продуктов существует серьёзная опасность — недостаточная защита от считывания информации.
По информации Positive Technologies, злоумышленники могут легко обойти защиту на чипах GigaDevice GD32. Они могут извлечь прошивку, найти уязвимости для атак, изменить или полностью скопировать внутреннее программное обеспечение, чтобы выпустить устройство под другим брендом.
Специалисты обнаружили уязвимости в защите от считывания прошивки одного устройства. Для независимой оценки безопасности подобных чипов они приобрели и протестировали 11 микроконтроллеров GigaDevice из серии GD32. Предварительно была активирована технология защиты.
В ходе тестирования было подтверждено, что прошивку можно извлечь в незашифрованном виде. Уязвимости были обнаружены во всех протестированных чипах из семейства GD.
Вендор был проинформирован об этих уязвимостях в рамках политики ответственного раскрытия информации.
Мнение экспертов
Специалист по кибербезопасности из Kaspersky ICS CERT, Владимир Дащенко, отмечает, что развитие микроконтроллеров и программного обеспечения для них происходит не так быстро, как хотелось бы. Поиск и устранение уязвимостей в этой сфере требует значительных усилий.
«На практике мы видим, что уязвимостей в этой области много. Более того, их использование может привести к гораздо более серьёзным последствиям, чем среднестатистическая уязвимость в программном обеспечении на уровне пользователя», — говорит эксперт.
«На самом деле таких слабых мест в защите существует множество, но мы не слышим о них из средств массовой информации. Это связано с тем, что в стремлении к прибыли многие компании, особенно малоизвестные, ускоряют процесс разработки и выпускают продукт, который работает, но имеет уязвимости. Особенно это касается продукции из Китая. Поскольку торговые операции с Европой и другими регионами затруднены, приходится покупать то, что доступно. И некоторые продавцы этим пользуются», — говорит руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников.
Помимо программного обеспечения, в аппаратной части контроллеров, интерфейсах связи и системах управления питанием могут быть обнаружены уязвимости. Использование этих уязвимостей может привести к несанкционированному доступу к устройству, сбоям в его работе или даже к его полному выходу из строя.
«Важно подчеркнуть, что наличие прошивки в открытом доступе упрощает злоумышленнику поиск уязвимостей в оборудовании. В последние полтора года эти микроконтроллеры часто используются в различных продуктах по всему миру для замены популярных 32-битных микросхем от STMicroelectronics», — подчёркивает руководитель отдела исследований безопасности аппаратных решений Positive Technologies Алексей Усанов.
«Микроконтроллеры с недостаточной защитой встречаются нередко, особенно среди недорогих и широко распространённых чипов», — подчёркивает ведущий инженер компании CorpSoft24 Михаил Сергеев.
Это происходит из-за того, что многие производители сосредоточены на снижении стоимости и расширении возможностей устройств, а не на их безопасности. В результате уязвимости могут оставаться незамеченными до тех пор, пока их не обнаружат сторонние эксперты или злоумышленники.
Уязвимости есть и в других микросхемах, таких как Unisoc, которые широко используются в различных устройствах в России, Азии, Африке и Латинской Америке. Эти микросхемы применяются в смартфонах, планшетах, автомобилях и телекоммуникационном оборудовании.
Выявленные уязвимости позволяют обойти системы защиты и получить несанкционированный доступ к процессору приложений через модем, который встроен в систему на кристалле.
«От обнаруженных уязвимостей могут пострадать как отдельные пользователи уязвимых устройств, так и организации», — заключил Владимир Дащенко.
Рекомендации по защите
Специалисты Positive Technologies настоятельно советуют разработчикам оборудования использовать микроконтроллеры с надёжной защитой от несанкционированного считывания прошивки.
Производители могут проверять названия микроконтроллеров, а пользователи могут запрашивать эту информацию у поставщиков или определять маркировку чипа самостоятельно, разобрав устройство.
Необходимо обеспечить защиту или ограничить возможности удалённого доступа, доступа через интернет, сегментировать сеть и контролировать сетевые взаимодействия, ограничить количество рабочих мест, с которых можно подключиться к контроллерам, и полностью защитить эти рабочие места.
Кроме того, важно регулярно обновлять программное обеспечение своих устройств до последней версии, выпущенной производителем. Это позволит устранить известные уязвимости.
Также стоит выбирать устройства от надёжных производителей, которые уделяют внимание безопасности и проводят независимые проверки своих продуктов. Если есть возможность, следует ограничить физический доступ к устройствам.
«Для обычных пользователей я рекомендую использовать устройства от проверенных производителей. Также важно настроить отдельную защищённую сеть для умных устройств и своевременно устанавливать обновления», — говорит автор продукта Solar appScreener Даниил Чернов.
«К сожалению, некоторые уязвимости могут быть неустранимы, и в такой ситуации пользователь должен тщательно оценить риски, связанные с их использованием, и решить, готов ли он продолжать пользоваться устройством, содержащим эти уязвимости. Если пользователь решит продолжить использование, ему следует принять меры для снижения возможных последствий потенциальных кибератак», — заключил Владимир Дащенко.