近日,全球主流物联网协议LoRa核心技术专利的拥有者、LoRa联盟发起者之一Semtech公司CTO Nicolas Sornin,专程向腾讯安全平台团队Tencent Blade Team发来感谢信,致谢其发现并向Semtech报告的LoRaWAN协议栈通用安全漏洞——LoRaDawn,并期待未来与Tencent Blade Team的合作。
据悉,这也是目前首个在LoRaWAN协议栈实现软件中发现的、影响范围极其广泛的通用安全漏洞。
作为 Semtech的首席技术官(CTO),我很高兴你们通过发现和报告安全漏洞,并与 Semtech 合作解决这个问题,使得我们和LoRa相关的产品变得更加安全。
2020年4月14日,你们谨慎地向 Semtech 披露了 LoRaMAC-node 堆栈实现中的潜在缓冲区溢出问题,提供了完整的风险分析文档,并指出了修复该问题的可能性方案。我很高兴地宣布,Semtech 的技术团队已经确认了这个问题,并在最新发布的软件栈中修复了它。
你们将安全问题私密报告给Semtech ,并针对这个问题提供清晰详细的分析,堪称行为的典范,高度展示了Tencent Blade Team的正直诚信。为了感谢你们对提高我们产品安全性的支持,我谨正式感谢Tencent Blade Team,并期待着在未来与你们继续合作。
据悉,腾讯发现的LoRaDawn安全漏洞主要存在于LoRaMac-Node(由Semtech开发的LoRaWAN协议栈实现,目前LoRa该漏洞可能带来的危害:
-LoRa软件在解析下行数据包的时候,存在严重缺陷,会导致内存被破坏。
-该漏洞可以突破LoRa协议的安全防护机制,对LoRa节点发起远程攻击。
-目前,市场上绝大部分的LoRa节点设备都将受到影响,具有极高的公共安全风险。
所幸,针对LoRaDawn造成的安全风险,Tencent Blade Team提供了相应的修复建议,包括增加对恶意数据包的过滤机制,增强协议栈的安全性等。目前漏洞已被Semtech官方确认并在最新发布的版本中进行修复。
21IC家注意到,从2013年Semtech公司发布第一代商用LoRa芯片以来,LoRa技术凭借其低功耗、远距离等技术优势,近几年在全球物联网行业被广泛应用。2015年,由Semtech联合Actility、Cisco和IBM等多家厂商共同发起创立LoRa联盟,LoRaWAN协议是由LoRa联盟推动的一种低功耗广域网协议,将LoRaWAN进行了标准化,以确保不同国家的LoRa网络可以互操作,腾讯也是LoRa 联盟的主要成员之一。
据公开数据显示,截至2019年底,在LoRaWAN网络下已有7.3亿的设备连接,使用场景丰富。目前,LoRa在中国也已形成了中国联通、中国铁塔等运营商、腾讯、阿里、京东等互联网企业以及解决方案商、模块提供商和网关制造商等在内的丰富生态体系。
免责声明:本文内容由21ic获得授权后发布,版权归原作者所有,本平台仅提供信息存储服务。文章仅代表作者个人观点,不代表本平台立场,如有问题,请联系我们,谢谢!
下载文档
