日前,嵌入式研究人员Denis Selianin发现了一个超大Bug,这个Bug基于一款广受欢迎的WiFi芯片组的固件,能够影响到笔记本电脑、智能手机、游戏设备、路由器和物联网(IoT)等将近62亿台设备。
这位研究人员于近日发布了一份报告,在这份报告中,Selianin描述了如何利用Marvell Avastar 88W8897无线芯片组上的ThreadX固件,在没有任何用户交互的情况下执行恶意代码。
WiFi固件现超大Bug:将影响62亿台设备
研究人员表示,固件的功能每5分钟自动启动一次,扫描新的WiFi网络,这使得固件的自我防御变得微不足道。攻击者所要做的就是将格式不正确的WiFi数据包发送给任何使用Marvell Avastar WiFi芯片组的设备,等待功能启动,执行恶意代码并接管该设备。
Selianin说:“这就是为什么这个Bug这么酷,它提供了一个机会,可以在无线连接的任何状态下(甚至在设备没有连接到任何网络的情况下)控制其它设备。”
此外,研究人员还表示,他们还发现了两个可以利用的执行恶意代码的方法, 一个是特定于Marvell自己的ThreadX固件实现的,另一个是通用的,这个方法可以应用于任何基于ThreadX 的固件 ,依靠ThreadX主页可能会影响多达62亿台设备。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
