【IT168 评论】物联网将成未来大势所趋这一观点我想大家已经不止一次的听说,无论是智能家居还是工业物联网,未来都将大规模普及。但大家在享受物联网所带来的便利的同时,最不能忽略的就是物联网的安全问题。
针对IOT安全,不少厂商和机构都制定了相应的一些标准,但不可否认的是,有些厂商的标准或许就为了蹭一个热点,又或许制定标准时因操之过急而过于简单,致使IOT相关漏洞的危害程度划分较为模糊。
为了解决这一问题,阿里巴巴旗下ASRC通过与业务部门的对焦整理并参考业内实践,正式试运行了《IOT漏洞定级评分标准V1.0》,试运行期限为1个月。据称该标准仅适用于设备操作系统、设备端导致的漏洞。同时ASRC表示将正式根据新标准开始收集IOT相关的漏洞。
IOT安全漏洞等级划分
根据介绍,《IOT漏洞定级评分标准V1.0》将IOT漏洞根据危害程度划分为严重、高、中、低四个不同等级、而每个漏洞的贡献值最高为100,安全币最高为1500。由ASRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:
●严重:贡献值【90~100】,安全币【1050~1500】,本等级包括:
1、 远程获取系统特权的漏洞。包括但不仅限于远程命令执行、任意代码执行等能导致远程控制设备并且窃取设备内隐私信息的漏洞。
2、远程导致设备永久性拒绝服务的漏洞。包括但不仅限于系统设备遭到远程发起的永久性拒绝服务攻击(设备无法再使用:完全永久性损坏,或需要重新刷写整个操作系统)。
●高:贡献值【60~80】,安全币【400~800】,本等级包括:
1、远程获取系统非特权权限的漏洞。包括但不仅限于远程命令执行、任意代码执行等漏洞。
2、本地获得系统特权权限的漏洞。包括但不限于本地权限提升漏洞。
3、远程越权访问敏感信息漏洞。敏感信息包括但不仅限于本地安装的应用在请求并获得权限后才可以访问的数据,或仅限特权进程访问的数据。
4、远程越权操作漏洞。包括但不仅限于远程绕过需要用户发起或者获得用户许可后方可使用的功能限制,进行越权敏感操作的漏洞。
5、导致设备拒绝服务的漏洞。包括但不仅限于系统设备遭到本地发起的永久性拒绝服务攻击(设备无法再使用:完全永久性损坏,或需要重新刷写整个操作系统)、远程攻击导致的暂时性拒绝服务攻击漏洞(远程挂起或者重新启动)。
6、权限绕过漏洞。包括但不仅限于全面深入的绕过内核级防护功能,或利用缓解技术存在的漏洞、本地绕过针对用户功能要求限制对任何开发者或针对任何安全设置进行修改、全面绕过应用隔离操作系统保护功能。
●中:贡献值【30~50】,安全币【60~150】,本等级包括:
1、远程获取系统低权限的漏洞。包括但不仅限于在受限进程中远程执行任意代码漏洞。
2、本地越权操作漏洞。包括但不仅限于本地绕过需要用户发起或者获得用户许可后方可使用的功能限制,进行越权敏感操作的漏洞。
3、导致设备暂时性拒绝服务的漏洞。包括但不仅限于本地攻击导致的暂时性拒绝服务攻击漏洞(设备需要恢复出厂设置)。
4、权限绕过漏洞。包括但不仅限于全面深入的绕过用户级防护功能,或在特权进程中利用缓解技术存在的漏洞、绕过设备保护功能/恢复出厂设置保护功能的漏洞。
5、远程越权访问普通信息漏洞。普通信息包括但不仅限于通常可供本地安装的所有应用访问的数据。
6、敏感信息泄露。包括但不仅限于通过逆向、网络劫持、源代码等方式获取系统中重要密钥、密码、Secret等可利用的数据。
●低:贡献值【10~20】,安全币【15~50】,本等级包括:
1、权限绕过漏洞。包括但不仅限于全面深入的绕过用户级防护功能,或在非特权进程中利用缓解技术存在的漏洞、本地绕过系统权限控制获取用户的非敏感受控数据的漏洞。
2、导致设备暂时性拒绝服务的漏洞。包括但不仅限于本地攻击导致的暂时性拒绝服务攻击漏洞(可通过以下等多种方法解决:如使设备重启并移除存在问题的应用、adb连接后变更恢复等)。
3、本地越权操作漏洞。包括但不仅限于不通过用户交互的情况下,调用系统隐藏功能,对用户的使用造成实际困绕或发生实际损失的漏洞。
通过提交漏洞,可获得相应的共享之和安全币。根据介绍,贡献值将用于荣誉奖励颁发,安全币将用于礼品奖励兑换。而安全币和现金兑换比例为1:10,即一个1500安全币的严重漏洞奖励是15000人民币。
此外,ASRC还给出了相关进程说明和漏洞接受范围说明如下:
进程说明
1、受限进程:在高度受限的 AliSE 域中运行的进程、或受限程度远远超过普通应用的进程。
2、非特权进程:普通应用或进程、或在安全沙盒中运行的应用或进程。
3、特权进程:拥有第三方应用无法获得的重要权限的应用或进程。
4、内核:属于内核一部分的功能,或在与内核相同的 CPU 环境中运行的功能(例如,设备驱动程序)。
漏洞接收范围说明
1、AliOS开源代码地址:https://developer.alios.cn
2、收集以下产品的AliOS操作系统的漏洞。
Pad类:惠普YunOS Book,其他产品将陆续更新。(PS:合作厂商二次开发模块产生的漏洞、内核、驱动产生的漏洞不在接收范围内。)
3、调试平台:AliOS被设计为可以适配到多种设备上,如智能手机,车机,Lite设备等。
由此可见,ASRC本次运行的《IOT漏洞定级评分标准V1.0》整体较为完善,对于IOT安全漏洞的收集来讲有着重要意义,自3月1日起,该定级标准正式试运行,相信通过该定级标准,IOT安全领域将更为规范。