物联网设备安全开发利器，阿里云IoT固件安全检测帮您解忧固件安全风险

固件安全风险
随着物联网的普及发展，出现越来趍多的设备。万物互联、设备多型多样，安全问题也随之不断地被暴露出来。
固件是物联网设备的核心部分，一但被攻击，将影响终端设备的正常使用，或设备被控制利用，或泄露用户隐私。通常固件面临的安全风险有：
1）系统安全：一般固件以Linux或RTOS作为底层操作系统。限于硬件性能，一般都未使用最新版本的操作系统、也很少进行安全加固，这些系统存在着大量的已知漏洞、以及像登录密码弱密码等风险。如物联网Mirai病毒攻击手段之一就是利用物联网设备的弱密码进行传播。
2）组件安全：同时固件中使用较多的开源组件，这些组件也存在已知漏洞，而且这些漏洞信息是公开的，同样给设备带来安全威胁。
3）应用安全：厂商在开发设备端应用程序时，可能会有密钥、密码、证书等敏感数据的使用，新增加的代码也可能存在漏洞，这些数据、代码的安全性同样影响设备的安全。

固件安全检测能力
阿里云IoT安全推出物联网固件的安全检测服务，您可以在产品开发过程中时使用，及时发现并修复风险、漏洞。您也可以对当前已发布产品的固件进行检测，了解掌握当前产品的安全风险所在，并参考修复建议及时修补。
阿里云IoT固件安全检测从CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全5个维度，通过插件化检测项分别对固件进行安全检测。

1）CVE漏洞
依托自建漏洞库，检测固件中使用的组件/软件信息及其存在的已知CVE漏洞。漏洞库服务当前支持NVD漏洞库和RedHat漏洞库等主流漏洞库，收录Debian、Ubuntu、CentOS等多个平台超过10000个组件/软件包，以及相应的CVE漏洞识别。
2）配置风险
检测固件系统中系统弱密码，远程管理工具使用及配置风险，非必要软件的使用等等。
3）密钥安全
检测固件中明文存储的私钥，所引用的证书的安全性。
4）敏感信息泄露
检测固件中泄露的敏感泄露，如代码泄露、SVN信息泄露、Git信息泄露、临时文件信息、备份文件泄露，配置文件中敏感数据明文存储等。
5）代码安全
检测固件中不安全库函数使用，已被破解或有风险的加密算法等。

使用方式
阿里云IoT固件安全检测控制台：http://fss.iot.aliyun.com/
您可以使用阿里云账号登录到IoT固件安全检测控制台，提交固件、获取检测报告。使用帮助请参考《IoT固件安全检测使用手册》
更多阿里云IoT安全产品及资讯，请访问阿里云-产品分类-物联网中“物联网安全”板块。