固件为设备内部保存的设备“驱动程序”,通过固件,操作系统才能按照标准的设备驱动实现特定机器的运行动作,比如光驱、刻录机等都有内部固件。
固件担任着一个系统最基础最底层工作的软件。而在硬件设备中,固件就是硬件设备的灵魂,因为一些硬件设备除了固件以外没有其它软件组成,因此固件也就决定着硬件设备的功能及性能。
路由器固件,亦即路由器所用之操作系统,属于嵌入式系统的一种。一般路由器厂商都有各自的私有固件,但也有不少厂商使用的是基于Linux内核或是其他类Unix系统内核的设计。
因像是Linux内核这样采用强制开放源代码许可协议的使然,使第三方个人或团队基于厂商发布的固件源代码及硬件技术数据,来开发、客制化路由器固件成为可能。
固件(firmware)一般存储于设备中的电可擦除只读存储器EEPROM(Electrically Erasable Programmable ROM)或FLASH芯片中,一般可由用户通过特定的刷新程序进行升级的程序。一般来说,担任着一个数码产品最基础、最底层工作的软件才可以称之为固件。
FKIE表示,在过去的一年里,有46款家用路由没有做过一次安全更新,且其中许多路由器都受到数百个已知漏洞的影响。更糟的是,厂商甚至在未修复已知漏洞的情况下就发布了固件更新,即使家庭用户部署了最新固件,他们的路由器仍处于易受攻击的状态。
评估后发现,华硕以及和网件两个品牌,相较于D-Link、Linksys、TP-Link和Zyxel做得更好。此次研究中,约90%的路由器使用的是Linux系统,但制造商并未使用Linux维护人员提供的修复程序来更新OS 。
对此,来自FKIE的网络分析与防御部门科学家Johannes vom Dorp指出,Linux一直在不断地开发新功能和修复安全漏洞,但厂商却没有提供最新的版本,甚至其中的一些设备,已超五年没有更新过,且许多路由器中暗藏了易于被破解的密码或无法被更改的硬编码登录凭证。
实际上,这项安全研究(PDF)主要从五个维度对路由器制造商的安全方案进行评估,包括上一次固件发布已有多久、路由器运行的OS版本号有多新、漏洞利用的缓解技术有多好、私有密钥是否可靠、以及是否存在硬编码的后门登陆账号。
得出的结论是,相较于操作系统制造商,路由器制造商在安全更新的实施方面,远不及台式机、服务器操作系统的行业标准。大多数设备都基于Linux OS,每年都有好几次针对内核与开源软件的安全补丁,但供应商并未及时同步给这些设备。所以,仅凭用户及时更新固件,并不意味着自己的路由器就得到了安全提升,因为固件的源头并未做到安全。
