11 ноября 2024, 11:26
Исследователи обнаружили недостатки защиты от считывания прошивки в одном устройстве, но для независимой проверки безопасности подобных чипов приобрели и протестировали 11 микроконтроллеров GigaDevice из серии GD32, предварительно активировав в них эту технологию защиты. Экспертам удалось подтвердить возможность извлечения прошивки в незашифрованном виде — уязвимости оказались подвержены все исследованные чипы, относящиеся к семействам GD32F1×0, GD32F3×0, GD32F4xx, GD32L23x, GD32E23x, GD32E50x, GD32C10x, GD32E10x, GD32F20x, GD32F30x, GD32F403. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения, сообщает пресс-служба Positive Technologies.
Микроконтроллеры GigaDevice GD32 применяются в зарядных станциях, автомобильных двигателях, аккумуляторах, системах доступа в помещение и в другом оборудовании вендоров из разных стран.
Учитывая трудность устранения аппаратных уязвимостей, Positive Technologies рекомендует производителям при проектировании конечных устройств использовать микроконтроллеры, технология защиты от скачивания прошивки в которых протестирована независимыми исследователями. Производители могут проверять наименования микроконтроллеров, а пользователи, в свою очередь, запрашивать такую информацию у вендоров либо определять маркировку чипа самостоятельно, разобрав устройство.
Множество современных устройств собраны из типовых компонентов, суммарная стоимость которых, как правило, значительно ниже цены конечного девайса. Основную прибавочную стоимость имеет прошивка, позволяющая слаженно работать отдельным компонентам. Для защиты этой критически важной интеллектуальной собственности в микроконтроллерах (во флеш-памяти которых хранится прошивка) используют технологии, запрещающие ее считывание. На примере чипов китайского производителя GigaDevice мы обнаружили, что эта защита работает не столь надежно, как хотелось бы. Важно отметить, что возможность скачивания в открытом виде прошивки облегчает атакующему поиск уязвимостей в оборудовании. Эти микроконтроллеры в последние полтора года нередко используются в продукции по всему миру для замены популярных 32-битных микросхем производства STMicroelectronics.
- прокомментировал Алексей Усанов, Руководитель направления исследований безопасности аппаратных решений Positive Technologies.
Напомним, что ранее специалисты "Лаборатории Касперского" выявили свыше 20 уязвимостей в биометрическом терминале китайского производителя ZKTeco.
Фото - freepik.com
Журнал RUБЕЖ
Пожарная безопасность
Транспортная безопасность
