前期不久,Semtech發(fā)布了相關安全性建議通知和協(xié)議棧���,,其中維護了一個名為LoRaMAC-Node的開源LoRaWAN?協(xié)議棧�����,用于開發(fā)人員使用LoRaWAN協(xié)議來構建設備�。并非市場上唯一的LoRaWAN協(xié)議棧�����,其它開源或商業(yè)應用的實現(xiàn)都使用不同的代碼庫����。
LoRa協(xié)議棧采用了 MAC-Node協(xié)議棧開源許可的授權方式���,因此數(shù)千開發(fā)人員已經(jīng)閱讀了代碼��、提出了問題并提供了改進建議���。同時,Semtech鼓勵業(yè)界人士向Semtech反映我們在開源許可下提供的代碼中的任何錯誤��,無論其是否與安全性相關��。
在最近的一個具體實例中��,騰訊團隊在LoRa協(xié)議棧中發(fā)現(xiàn)了一個漏洞�,并遵從行業(yè)共識準則,迅速將該問題反饋給了Semtech團隊�。他們直接提醒我們,而不是通過公共論壇���,使得我們能夠在兩天內快速開發(fā)了修復程序�����,并在完全驗證之后發(fā)布了包含修復程序的LoRaMAC-Node協(xié)議棧的更新版本�。
騰訊團隊發(fā)現(xiàn)的漏洞是在LoRaMAC-Node協(xié)議棧中��,而不是在LoRaWAN協(xié)議規(guī)范之中�����。LoRaWAN規(guī)范是由LoRa聯(lián)盟(LoRaAlliance?)技術委員會專家團隊來編寫和維護���,從一開始就將安全性和隱私置于LoRaWAN協(xié)議設計的核心。LoRaWAN規(guī)范也經(jīng)歷了大量的安全性審查���,既包括該技術委員會的審查,也包括多家業(yè)界認可的信息安全公司的審核���。這些審核結果或被視為可用的規(guī)范改進����,或最佳實踐建議。
近期發(fā)現(xiàn)的這個安全漏洞屬于“拒絕服務”類別���,這意味著攻擊者可能在設備連接到網(wǎng)絡的過程中進行了干擾。
然而����,在任何時候,用戶的數(shù)據(jù)都不會被這個bug暴露(因此沒有隱私泄露發(fā)生)��。而且�����,無法利用攻擊來控制設備����、向設備中注入代碼或從設備中提取安全信息���。
Seamtech已經(jīng)為該安全漏洞申請了一個通用漏洞列表(CVE)條目�。這是一個集中式存儲庫,互聯(lián)網(wǎng)中最大的和最常用的開源項目都會在其中披露已發(fā)現(xiàn)的漏洞����,這樣用戶就可以在這個地方檢查可能會影響他們正在使用的代碼的漏洞��。點擊以下鏈接可以更深入了解CVE和漏洞的負責任披露:cve.mitre.org
今天的分享就到這里啦��,EBYTE每一天都致力于更好的助力物聯(lián)化�����、智能化���、自動化的發(fā)展,提升資源利用率���,更多LoRaWAN網(wǎng)關模組產(chǎn)品及LoRaWAN技術應用資料�����,感興趣的小伙伴可以登錄我們的億佰特官網(wǎng)進行了解���,也可以直接撥打400電話咨詢技術專員!
相關閱讀:
1�、什么是LoRaWAN協(xié)議�?Lorawan網(wǎng)關有什么作用����?
2��、lorawan協(xié)議網(wǎng)關搭建物聯(lián)網(wǎng)自動采集系統(tǒng)案例流程
3����、LoRaWAN協(xié)議數(shù)據(jù)傳輸通信機制以及LoRaWAN組網(wǎng)詳解
4��、基于LoRaWAN網(wǎng)關模組的常見物聯(lián)網(wǎng)應用方案
