据外媒PC World报道，法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员发现，路由器、DSL调制解调器、网络电话等嵌入式设备存在高风险的安全缺陷，厂商并未在这些设备上市前对安全性进行全面测试。

 

研究人员开发了一个能对固件镜像文件解压缩、在模拟环境中运行固件和启动嵌入式Web服务器的自动平台。通过对来自54家厂商的1925款嵌入式设备进行研究，他们只在1925个基于Linux的固件镜像文件中成功启动了246个固件。

在测试中，研究人员把Web界面代码分离出来，并在一个通用服务器上运行这些代码，在不模拟真实固件环境的情况下检测缺陷。这一测试存在不足之处，但成功对515个固件镜像文件进行了测试，并发现其中的307个存在缺陷。

研究人员通过静态和动态分析，在185个固件镜像文件的基于Web的管理界面中发现重要的安全缺陷，例如命令执行、SQL injection和跨站脚本攻击，涉及54家厂商中约四分之一厂商的设备。

他们认为，通过对他们的平台进行调整，这一数字还会增加。研究人员还利用另外一款开放源代码工具，对从设备固件镜像文件中提取的PHP代码进行了静态分析，在其中的145个固件镜像文件中发现9046个安全缺陷。

据了解，研究人员致力于开发一种可靠的方法，在不“接触”相应物理设备的情况下，自动对固件镜像文件进行测试，而非对固件中的缺陷进行完全扫描。他们没有人工对代码进行分析，也没有使用各种各样的扫描工具对高级逻辑缺陷进行分析。

这意味着他们发现的都是最容易被发现的问题，都是在任何标准化的安全测试中应当很容易被发现的缺陷。

(责任编辑：安博涛)