別忽視！嵌入式代碼可能存在的致命漏洞！

隨着互聯網的發展，嵌入式設備正分佈在一個充滿可以被攻擊者利用的源代碼級安全漏洞的環境中。因此，嵌入式軟件開發人員應該瞭解不同類型的安全漏洞——特別是代碼注入。

術語“代碼注入”意味着對程序的常規數據輸入可以被製作成“包含代碼”，並且該程序可以被欺騙來執行該代碼。代碼注入缺陷意味着黑客可以劫持現有進程，並以與原始進程相同的權限執行任何他們喜歡的代碼。

在許多嵌入式系統中，進程需要以最高的權限運行，因此成功的代碼注入攻擊可以完全控制機器以及竊取數據，導致設備發生故障，將其作爲其殭屍網絡成員或使其永久無法使用。

代碼注入漏洞的關鍵方面是：

該程序從輸入通道讀取數據

該程序將數據視爲代碼並對其進行編譯

在大多數情況下，程序故意像執行代碼一樣執行數據是不尋常的，但將數據用於構造有意執行的對象卻很常見。

嵌入式專欄

1

格式化字符串漏洞

大多數C程序員熟悉printf函數。大體上，這些格式字符串後跟一個其他參數的列表，並且該格式字符串被解釋爲一組指令，用於將剩餘的參數呈現爲字符串。大多數用戶知道如何編寫最常用的格式說明符：例如字符串，小數和浮點數——％s，％d，％f——但是不知道還有其他格式字符串指令可以被濫用。

以下是printf函數通常被濫用的一種方式。有些程序員習慣編譯字符串如下：

printf（str）;

雖然這將在大部分時間內都具有所期望的效果，但它是錯誤的，因爲printf的第一個參數將被編譯爲格式字符串。所以，如果str包含任何格式說明符，它們就將被這樣編譯。例如，如果str包含'％d'，它會將printf參數列表中的下一個值解釋爲整數，並將其轉換爲字符串。在這種情況下，沒有更多的參數，但機器在執行的時候並不瞭解這一點; 它所知道的全部是，函數的一些參數已經被推送到堆棧。

因爲在C運行時沒有機制可以告訴機器已經沒有更多的參數了，所以printf將簡單地選擇恰好在堆棧中的下一個項目，將其編譯爲一個整數並打印出來。很容易看出，這可以用來從棧中打印任意數量的信息。例如，如果str包含'％d％d％d％d'，則將會打印堆棧上接下來四個字的值。

雖然這是一個代碼注入安全漏洞，但由於它唯一可能造成的傷害就是可以被用來獲取棧中的數據，所以它還是可以被原諒的。可如果位於那裏的是敏感數據（如密碼或證書密鑰），情況就會變得很糟；而且由於攻擊者還可以在那裏寫入任意內存地址，因此情況還可能會變得更糟。

使這種糟糕情況的發生成爲可能的是格式說明符'％n'。通常，相應的參數是指向整數的指針。當格式字符串爲了建立結果字符串而被編譯時，一遇到'％n'，到目前爲止寫入的字節數就被放置到由該指針所指示的存儲單元中了。例如，在下面的printf完成之後，i中的值將爲4：

printf（“1234％n”，＆i）;

如果函數的實際參數比格式說明符更少，那麼printf會將任何在堆棧上的數據作爲參數編譯。因此，如果攻擊者可以控制格式字符串，那麼它們可以將基本上任意的值寫入堆棧位置。因爲堆棧是局部變量所在的位置，所以它們的值可以被改變。如果這些變量中有一些是指針，那麼這個平臺甚至可以到達其他非堆棧地址。

真正對攻擊者來說有價值的目標是讓攻擊者控制程序的執行部分。如果一個局部變量是一個函數指針，則攻擊者可以通過該指針的後續調用來編寫代碼，實現自己的目標。當函數返回時，攻擊者還可以將指令要被送達的地址覆蓋重寫。

嵌入式專欄

2

避免代碼注入

避免代碼注入的最佳方法是通過設計。如果您可以使用一種永遠不會出現漏洞的語言，那麼這是最好的因爲您的代碼在構建時就是對一切攻擊免疫的。或者您可以通過設計代碼來禁止可能導致這些問題的接口。不幸的是，在嵌入式系統中，這些選擇並不總是可行的。即使C是一種危險的語言，充斥着漏洞，但它仍然是許多組織架構的首選語言。鑑於此，開發人員應該瞭解其他避免代碼注入的方法。

應該遵循的兩個黃金規則以防止代碼注入漏洞：

1.如果你可以避免的話，儘量不要將數據像代碼一樣編譯；

2.如果你無法避免的話，請確保在使用數據之前驗證數據是否良好。

爲避免格式字符串的漏洞，這些規則中的第一個是最合適的; 你可以編寫代碼如下：

printf（“％s”，str）;

這樣，str的內容只被視爲數據。這是最不費腦子的辦法，只要你能找到所有應該做出這種修改的地方。但這對於大型程序來說可能是棘手的，特別是對於第三方代碼庫。

嵌入式專欄

3

測試漏洞

測試這些類型的漏洞可能很困難; 即使能實現非常高的代碼覆蓋率的測試也不能觸發這些問題。測試安全漏洞時，測試人員必須採取一個攻擊者的心態。諸如模糊測試的技術可能是有用的，但是該技術通常太隨機，無法高度可靠。

靜態分析可以有效地發現代碼注入漏洞。注意到早期生成的靜態分析工具（如lint及其後代衍生產品）很不擅長髮現這樣的漏洞，因爲想要實現精確的查找漏洞就需要完成整個程序的路徑敏感分析。

最近出現的先進的靜態分析工具更加有效。靜態分析工具廠商對於哪些接口有危險，尋找目標的知識基礎以及如何有效地進行這些工作已經積累了豐富的經驗。

這裏使用的關鍵技術是污染分析或危險信息流分析。這些工具通過首先識別潛在風險數據的來源，並對信息進行追蹤，瞭解信息是如何通過代碼不經過驗證就流入正在使用的位置的。 同時這也是能實現整個流程可視化的最好工具。

嵌入式專欄

4

結論

代碼注入漏洞是危險的安全問題，因爲它們可能允許攻擊者中斷程序，有時甚至完全控制程序。那些關心如何在一個充滿潛在惡意的互聯網環境中確保他們的嵌入式代碼能夠安全使用的開發人員，應該將這樣的代碼注入漏洞，在開發週期和嚴格的代碼檢查中儘早消除。而上面提到的高級靜態分析工具是被推薦使用的。

來源：

http://www.newelectronics.co.uk/electronics-technology/code-injection-a-common-vulnerability/150031/

1.GD32 Arm MCU物聯網開發者線上課程來啦，快入羣等開課！

2.專家觀點：2021年嵌入式與物聯網產業趨勢

3.爲什麼大家看好RISC-V？

4.嵌入式開發中要用的三種程序架構~

5.阿里達摩院2021十大科技趨勢~

6.FPGA難懂？其實與GPU類比一下就明白了

免責聲明：本文系網絡轉載，版權歸原作者所有。如涉及作品版權問題，請與我們聯繫，我們將根據您提供的版權證明材料確認版權並支付稿酬或者刪除內容。