By Jon Oster, Platform Development Lead, Toradex

這是我們關(guān)于 OTA 的 7 篇系列文章的第 2 篇。 在第 1 篇中，我們向您介紹了能夠遠程實現(xiàn)軟件更新的所有重要原因 - 在當今世界，您無法確保任何互聯(lián)設(shè)備的安全，除非您可以對其進行更新。 然而，今天的文章卻從相反的方向來探討，我們將看看為什么軟件更新系統(tǒng)會非常危險，以及為什么你應(yīng)該對它們持懷疑和謹慎態(tài)度。 

如果您花點時間考慮一下遠程更新系統(tǒng)可以實現(xiàn)功能，應(yīng)該很清楚為什么它如此敏感。 根據(jù)定義，您的軟件更新程序是從 Internet 下載軟件并以 root 權(quán)限運行。在物聯(lián)網(wǎng)系統(tǒng)中，它通常在沒有任何用戶交互的情況下進行。 就像我們上次提到的那樣，能夠遠程利用的設(shè)備上的安全漏洞是非常危險的。但遠程更新系統(tǒng)本身存在漏洞則更加危險。因為這可能意味著依賴該系統(tǒng)進行更新的每臺設(shè)備都可能被惡意軟件感染、接管、被勒索等。

不難想象，軟件更新系統(tǒng)是攻擊者的重點目標。但是，這在現(xiàn)實中是否成立？答案是肯定的。事實上，過去十年中一些最著名和最具破壞性的網(wǎng)絡(luò)攻擊是通過破壞軟件更新系統(tǒng)來完成的。

為了說明這些危險，讓我們看一個比較典型的研究案例。2017 年，勒索軟件攻擊遍及全球公司內(nèi)部的關(guān)鍵電腦。它始于烏克蘭，最終感染了 12500 多臺機器，但在世界各地也發(fā)現(xiàn)該攻擊，影響了包括巴西、德國、俄羅斯和美國在內(nèi)的 64 個國家的公司。令這次攻擊引人注目的是受到攻擊的計算機類型，最初感染的計算機通常位于財務(wù)、會計或出納部門。這造成了巨大的經(jīng)濟破壞，一些公司根本無法處理付款或執(zhí)行訂單。美國國土安全部官員后來評估的總損失為 100 億美元。

最后發(fā)現(xiàn)這些攻擊的共同點是使用了一個由一家名為 M.E. Doc 的公司出售的報稅軟件。該軟件的制造商知道每年更新軟件的重要性，使其能夠符合稅收法規(guī)和程序的變化，因此他們內(nèi)置了自己的自動更新功能。攻擊者控制了更新系統(tǒng)，其實施方法是允許攻擊者分發(fā)他想要的任何軟件。當人們開始關(guān)注和考慮構(gòu)建軟件更新系統(tǒng)時，這是一個常見的現(xiàn)象，他們認為這似乎是一個相對容易解決的問題，使用基本加密即可。但是，除了顯而易見的問題，還有很多事情需要考慮，尤其是在物聯(lián)網(wǎng)方面。

您可能已經(jīng)已經(jīng)知道結(jié)局，并認為這家公司一定犯了一些明顯的錯誤，而您不會犯同樣的錯誤。但更新系統(tǒng)漏洞不僅僅發(fā)生在小公司身上。例如，你會認為像微軟這樣的公司能夠確保他們的更新系統(tǒng)安全。但 Windows Update 中一個致命的（也及其隱蔽）缺陷實際上成為了可能歷史上最著名的惡意軟件 - Stuxnet 的攻擊媒介，該蠕蟲病毒對伊朗核設(shè)施造成了重大破壞。

在本系列的下一篇文章中，我們將詳細介紹更新系統(tǒng)實施中出現(xiàn)的問題，包括查看在這這個案例中究竟發(fā)生了什么，以及其他一些備受矚目的軟件更新系統(tǒng)漏洞。但今天主要要傳到的是軟件更新系統(tǒng)（以及任何保護它的安全框架或設(shè)計）可能是整個公司中最危險的基礎(chǔ)設(shè)施。它的設(shè)計需要考慮到靈活性，這樣它就不會出現(xiàn)單點故障，即使它的一部分受到攻擊或損壞，你也不會讓你的用戶和公司處于危險之中。繼續(xù)關(guān)注這個系列，我們會告訴你具體怎么做。