Part 01 固件獲取 

對固件進行研究的整個流程圖大致如圖1所示，包括固件提取、固件分析、固件解析和程序提取、固件逆向、固件仿真/硬件調試、漏洞挖掘等幾部分。

圖1 固件安全研究流程

進行固件分析的前提條件就是固件的獲取，常用的固件提取方式有：

1、從相關品牌的廠商網站進行下載；

2、在設備進行固件更新時進行截獲；

3、直接使用串口調試讀取芯片的方式進行固件讀取。

固件中包含了很多研究人員感興趣的內容，研究人員使用各種方式來對固件進行研究，比如查看廠家對固件的保護，是否封閉了UART及JTAG等引腳，是否從硬件物理上進行了固件內容防護；固件是否加密；固件文件系統是怎么組織的，是否存在直接提取敏感信息的可能性，固件中的各個組件使用的某些通用庫是否存在漏洞；固件所支持的某些協議庫，例如物聯網的一些協議，是否存在漏洞；固件所支持的web服務，密碼是否可竊取，是否存在漏洞，例如遠程執行，信息泄露等。研究人員對這部分信息進行研究，獲取基本的固件信息，對之后的固件安全分析工作來說很有必要，多數情況下，通過對固件分析的前期操作，能獲得許多重要的息甚至是發現漏洞。

Part 02 固件脆弱性風險分析 

2.1 藍牙mesh固件自動化分析風險評估

因為不同品牌、不同架構的廠商，為了設備安全，會對自己出廠的固件進行不同的設置，那么在分析時獲取到的固件信息也不同，但總體差別不是很大。

在對固件初步分析時可以使用自動化平臺進行固件分析，自動化的固件平臺能夠很好的對固件組件、固件架構、文件系統等進行深層次分析，包含此系列產品的歷史漏洞，漏洞時間、漏洞類型、補丁信息、文件目錄、組件信息等，查看固件存在哪些組件（通用組件包括u-boot、busybox、ntp、lighttpd、openssl、json-c、 libgcrypt、hostapd等），分析開源組件是否存在已知漏洞，進行組件層面的脆弱性分析。通過使用固件自動化安全分析平臺，得到包含以下信息的固件分析報告：

①　設備web代碼漏洞。基于通用web技術如PHP、Javascript等開發web應用導致了潛在的web漏洞風險。

②　軟件供應鏈漏洞。開源基礎軟件包不及時更新，具有相似軟件供應鏈，不同廠商的固件存在高度重合的產品廠商、型號。

③　證書與秘鑰泄露

④　不安全配置

⑤　Nday漏洞

開發人員在固件開發過程中會引用第三方軟件和庫提供功能開發的基礎，比如busybox組件為固件系統中提供Linux命令操作基礎；lighttpd組件為一款輕量級WebServer組件，為負責提供固件中的Web服務；openssl組件為固件提供安全及數據完整的安全協議。但它們也被爆出過影響深遠的歷史漏洞如busybox中的權限許可和訪問控制漏洞，lighttpd中目錄遍歷漏洞，openssl中的心臟滴血漏洞等。

對固件進行分析，能夠獲取整個固件的風險感知。圖二是使用固件自動化安全分析平臺對某品牌路由器固件進行分析時，得到的固件分析結果。在獲取這部分固件信息后，結合手工分析時關注的重點信息可以建立此固件的風險分析信息庫。

圖2 某路由器固件自動化安全分析結果-圖片來源于某品牌固件分析平臺

圖3 某品牌路由器固件分析風險信息庫-圖片來源于某品牌固件分析平臺

2.2 建立固件脆弱性風險分析方式

本文從常見的家用路由器品牌入手，總結了物聯網固件脆弱性分析方式，主要從產品基本配置信息和基礎組件脆弱性分析兩種方式入手。

（1）產品基本配置信息主要包括表1所包括的部分。

表1 產品基本配置信息

（2）基礎組件脆弱性分析主要從硬件風險分析和軟件風險分析入手。

硬件風險分析包括：

①　探測路由器的telnet，ssh，ftp等服務的相應端口是否開放；

②　利用UART調試口訪問設備，使用OpenWrt調試運行程序；

③　嘗試破解shadow文件密碼，查看運行進程和服務；

④　開放服務攻擊面。是否存在不安全配置，例如ssh配置允許root遠程登錄等。

軟件風險分析主要重點關注口令，API Token，API Endpoint（URL），存在漏洞的服務，后門賬戶，配置文件，源代碼，私鑰，數據的存儲方式等敏感性內容。

對于固件的軟件風險分析，首先需要進行固件文件系統提取，通常使用binwalk/firmware-mod-kit等固件分析工具查看固件的架構類型，并提取對應的固件文件系統。在此基礎上可以使用手工分析和自動化分析兩種方式對固件進行軟件風險分析。

手工分析主要是遍歷文件系統中不同的目錄，所有配置文件，查看Web目錄及開源軟件信息。明確web子目錄下確定開發語言和特征，關注http，tddp，upnp等網絡協議，尤其是自定義協議相關的二進制文件，設備廠商自己開發的特定服務往往是被發現問題最多的地方。還可以運行busybox二進制文件，獲取運行程序和symlink等固件信息。

對于自動化分析，主要使用自動化分析工具進行輔助分析，比如使用Firmwalker在固件文件系統中搜索敏感的文件，進行已知脆弱性組件識別。對與SSL相關的文件，配置文件，腳本文件，二進制文件，admin，password和remote 等關鍵字，常用的web服務等進行已知脆弱性組件識別檢查是否使用弱口令或者已被公開的默認賬號等；

通過固件自動化分析風險評估結合固件脆弱性風險分析，可以針對固件進行綜合性風險評估，形成風險評估規范性模板，建立當前固件的風險信息表，輸出風險報告，從而對當前所分析固件有更清楚更直觀的了解。

Part 03 總結 

本文從物聯網（路由器）固件入手，將研究重點放在固件分析及脆弱性風險評估方式上。固件分析使用自動化固件平臺分析結合手工分析關注的重點信息，建立包含固件常用組件、固件組件歷史漏洞、固件版本號、固件文件系統、固件敏感信息等信息的固件分析風險信息庫。與此同時，本文從產品基本配置信息分析和基礎組件脆弱性分析兩種分析方式入手，總結形成了物聯網固件脆弱性分析方式，可以對固件的總體風險情況形成直觀感受。本文總結的固件脆弱性風險分析方式對于物聯網設備的安全研究來說具備實際意義。