STM32安全固件更新的安全挑战

发布时间:2023-02-28  

固件更新是我们软件生命周期中必须面临的问题。软件生命周期中有多种原因让我们需要固件更新,而固件更新也会带来安全问题,如使用固件更新来攻击电子钱包。

STM32 已经提供了很多的安全技术来应对固件更新的安全挑战。在这里和大家一起探讨,如何利用 STM32 安全技术,软件以及硬件安全技术,进行安全的升级固件。

讲座内容既包括了固件更新的一般原理,以及安全固件更新的额外设计。


安全固件更新离不开安全启动。STM32 安全启动为 STM32 安全固件更新提供了安全的运行环境。


什么是安全固件更新?

固件更新是指部分或者完全替换设备上的软件的操作,包括添加新应用,修改已有功能,或者去修复软件里的问题。安全固件更新,则是以安全的方式去实施固件更新。安全,也就是是防止固件在更新实施过程中被修改,被假冒以及被窃取的威胁。安全的三要素是保密,完整,可用,需要在安全固件更新的准备以及实施过程得到保证。完整可靠属于我们谈到的安全属性里的完整属性。

- 保密

- 完整

- 可靠


新功能带来新弱点,为什么需要固件更新

“离开软件,芯片就是一堆沙子”( Silicon Without Software is Just Sand)。芯片确实是从沙子中来。芯片需要晶圆,晶圆就是纯化的硅,需要从沙子中提炼。但是芯片有了软件,就可以执行各种各样的输入输出与计算,如同黄金般的珍贵。这句话还可以加一句,“离开固件更新,芯片就在回归沙子的路上"。因为,如果没有固件更新,软件不再适合应用场景,或者停止工作,那么这个芯片也可以说重新变成了沙子。


固件更新很重要,可以从以下几个方面理解:

① 固件更新可以解决系统的功能缺陷或者安全漏洞。

软件总是人开发的,人总是不完美的。人类要想在软件中一个Bug 都没有,那几乎是不可能的事情。所以固件更新的一个最重要的用途,就是给开发人员一个修改的机会,在这个产品生命周期内修复系统缺陷。这些缺陷也可以包括安全弱点。

② 固件更新可以给系统提供新功能新价值。

我们的安卓手机,在硬件不变的情况下,新的功能可以通过安装新的App 获得。同样,对于MCU 来说,固件更新可以提供先前所没有的价值。

③ 固件更新可以帮助产品加快进入市场的进度。

完全可以先实现一个最小的完备系统,支持基础性功能,同时带有固件更新的能力。那么 ,产品就可以进入工厂进行制造,不需要等待所有功能完成。这样可以加快进入市场的进度。

④ 固件更新可以降低设备的维护成本

有了固件更新,可以要求所有的设备都运行在某一个版本或者该版本之上。那么,支持的版本个数就减少了 ,从而支持多个版本的成本就可以显著降低。


为什么需要安全固件更新?

固件更新作为一个系统的修改入口,是可以被恶意的攻击者利用。同时,对安全来说,新功能总会带来新弱点,固件更新的自身的功能设计也可能带来新的安全弱点。黑客可以有多中手段对固件更新进行攻击 。

① 攻击固件本身

黑客可以在更新的起点替换固件。如果固件来源不可靠,则固件轻则不能运行,重则运行起来破坏这个设备。同样如果这个固件是不完整的 ,被破坏了,则固件更新了,还能不能运行就是个问号 。如 果固件一部分被注入了恶意软件,则固件更新之后系统就有了后门 ,也就相当于家里进了小偷或者强盗。

② 攻击固件传输的过程

如果在固件传输过程中,没有做到保密,则固件可以被所有人获得。同样,固件在传输过程中也可能被人为修改。

③ 攻击固件烧写的过程

即使我们在固件传输过程采取了固件加密措施,如果设备在烧写固件时,不采取相应的安全防护 ,那么固件的内容还是通过固件更新的过程泄密了。

④ 攻击固件的存储位置

固件的 存储位置对固件更新的安全也有影响 。当然 ,即使没有固件更新,用户固件存储的位置也会对系统安全的作用也不可忽视。

a. 存储在MCU 内部

用户固件可以存储在MCU 内部。存储在MCU 内部,可以很方便的使用MCU 自带的硬件安全技术来保护固件。例如,使用STM32 的RDP 级别2 来防止外部攻击,保护固件的保密,以及固件的完整可靠性。

b. 使用外扩Flash

外扩Flash 会带来极高的风险。攻击者可以将Flash 吹掉,放在读写器上读出Flash 里的内容。同时,外扩Flash 的引脚,会暴露在攻击者的枪口之下,即使固件得到验证后,也不应该直接从外扩Flash 直接执行。攻击者完全可以欺骗安全启动,在执行的一刹那,将外扩Flash 换成不安全的内容(hot-swapping)。

- 攻击固件的版本

就像我们提到的,新的版本可以解决系统的bug。这些bug 可以包含系统可能被攻击者利用的安全弱点。理论上新的版本总是比旧的版本要安全。而攻击者则反其道而行之,他们可以利用旧的版本来替换新的版本,从而降低系统的安全性。

a. 旧的版本

攻击者可以故意利用旧版本来替换新版本。旧版本带有明显的安全漏洞,则攻击者会利用该漏洞作为入口对系统进行攻击。

b. 介于新旧之间的版本

对于离线设备,攻击者可以利用一个有弱点的中间版本,来攻击设备。该中间版本,比设备上的版本新;但是又不是厂 家的最新版本。在这种情况下,设备是很难分辨是否应该要升级。


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>