Naviguer dans les défis de sécurité avec des exemples de code IoT
Une étude sur les vulnérabilités dans le code IoT trouvée en ligne met en avant des risques de sécurité.
― 8 min lire
Table des matières
- Défis de la sécurité IoT
- Étude des exemples de code IoT
- Cartographie des Vulnérabilités à des problèmes réels
- Le rôle de l'Énumération des faiblesses communes (CWE)
- L'essor des appareils IoT
- Analyse des vulnérabilités du code
- Contributions des différentes plateformes
- L'impact des faiblesses
- Meilleures pratiques pour les développeurs IoT
- L'avenir de la sécurité IoT
- Résumé des résultats
- Source originale
- Liens de référence
L'Internet des Objets (IoT) désigne la manière dont divers objets physiques sont connectés à internet. Ces objets, souvent appelés "choses", peuvent envoyer et recevoir des données via des appareils intelligents. Cette connexion devient de plus en plus courante dans la vie quotidienne, touchant tout, des appareils électroménagers aux voitures. Avec la croissance de l'utilisation de l'IoT, la sécurité de ces dispositifs devient de plus en plus importante.
Défis de la sécurité IoT
Les appareils IoT font face à des défis de sécurité uniques. Ça inclut la gestion de grands réseaux qui peuvent être vulnérables aux attaques, comment les développeurs tiers peuvent mal utiliser les données, et le risque d'attaques qui peuvent interrompre le service. À mesure que la pression augmente sur les développeurs pour sortir de nouveaux appareils rapidement, la probabilité de problèmes de sécurité ou de mauvaises pratiques de codage augmente.
Beaucoup de développeurs IoT se tournent vers des plateformes en ligne pour aider à résoudre des problèmes de programmation. Ces plateformes ont souvent des exemples de code qui peuvent être réutilisés. Cependant, des études ont montré que le code partagé sur ces sites peut contenir des failles de sécurité.
Étude des exemples de code IoT
Dans notre recherche, on s'est concentré sur l'évaluation des exemples de code liés à l'IoT partagés sur trois plateformes en ligne : Stack Overflow, Arduino et Raspberry Pi. Les études précédentes se sont principalement penchées sur le code de Stack Overflow, ratant des insights importants liés à l'IoT. On a rassemblé plus de 11 000 extraits de code et les avons analysés pour détecter des faiblesses.
Types de faiblesses trouvées
Parmi les exemples collectés, on a identifié 29 types différents de faiblesses communes. Celles-ci peuvent être regroupées en huit catégories plus larges. Les faiblesses les plus courantes étaient liées aux évaluations, à la gestion de la mémoire, et à la manière dont les fonctions étaient créées.
- Problèmes d'évaluation : Des problèmes surgissent quand les comparaisons ou la logique dans le code sont incorrectes.
- Problèmes de mémoire : Ça se produit quand il y a une mauvaise gestion de la mémoire, comme utiliser de la mémoire qui n'a pas été correctement allouée.
- Problèmes de fonction : Les erreurs dans la manière dont les fonctions sont mises en œuvre ou utilisées peuvent mener à des bogues.
Cartographie des Vulnérabilités à des problèmes réels
Il est important de comprendre comment les faiblesses dans ces exemples de code se rapportent à des vulnérabilités réelles. On a regardé une base de données de vulnérabilités connues, liant les faiblesses trouvées à de vrais incidents. En faisant ça, on a pu voir comment ces problèmes de codage pouvaient mener à de réelles menaces pour la sécurité.
Par exemple, un pourcentage significatif des vulnérabilités trouvées dans notre analyse pourrait mener à des attaques par déni de service, où les utilisateurs légitimes ne peuvent pas accéder à un service parce que les attaques malveillantes l'inondent.
Le rôle de l'Énumération des faiblesses communes (CWE)
Pour classifier les faiblesses trouvées, on a utilisé le système Common Weakness Enumeration (CWE). Ce système énumère les faiblesses logicielles communes, facilitant ainsi la tâche des développeurs pour comprendre les problèmes potentiels dans leur code. En appliquant ce système, on a pu identifier les faiblesses les plus répandues dans les exemples de code IoT étudiés.
L'essor des appareils IoT
Le nombre d'appareils IoT augmente rapidement. À la fin 2020, il y avait plus de 11 milliards d'appareils connectés, et ce chiffre devrait atteindre 27 milliards d'ici 2025. À mesure que de plus en plus d'appareils deviennent interconnectés, garantir la sécurité devient plus essentiel.
L'augmentation des dispositifs IoT accroît aussi leur exposition aux menaces de sécurité. Beaucoup d'appareils font maintenant partie de la vie quotidienne, des téléviseurs intelligents aux systèmes de sécurité domestique. Cette connectivité peut les rendre des cibles attrayantes pour les cybercriminels.
Analyse des vulnérabilités du code
À travers notre étude, on visait à déterminer comment ces vulnérabilités évoluent dans le temps. En examinant le code posté sur plusieurs années, on a pu voir quels types de faiblesses devenaient plus courantes.
Évolution des vulnérabilités
De notre analyse, on a noté une tendance à la baisse du nombre d'extraits de code faibles de 2014 à 2017. Depuis, il y a eu un retournement, surtout en ce qui concerne les faiblesses liées à l'évaluation, à l'initialisation et à la mémoire. Nos résultats suggèrent qu'à mesure que la technologie IoT continue d'évoluer, les développeurs doivent prêter plus attention à ces types de faiblesses.
Contributions des différentes plateformes
Notre recherche a mis en avant comment différentes plateformes contribuent à la qualité globale du code. Par exemple, la plateforme Arduino avait un plus grand nombre d'extraits de code faibles que les autres. Cela est probablement dû à l'orientation de la plateforme sur le codage IoT, car elle s'adresse à un grand nombre de développeurs amateurs qui peuvent avoir des niveaux d'expérience variés.
L'impact des faiblesses
Les faiblesses identifiées dans les extraits de code peuvent avoir des implications réelles significatives. Par exemple, les vulnérabilités liées à la gestion de la mémoire sont souvent corrélées à de sérieuses menaces, menant à des situations où des données confidentielles pourraient être exposées ou des services interrompus.
Exemples réels de vulnérabilités
Les problèmes qu'on a trouvés dans les exemples de code n'étaient pas juste théoriques. Beaucoup des faiblesses correspondaient à des vulnérabilités déjà identifiées dans la technologie existante, indiquant un besoin pressant de meilleures pratiques de codage parmi les développeurs IoT.
Meilleures pratiques pour les développeurs IoT
Au vu des résultats de notre étude, on propose plusieurs meilleures pratiques pour les développeurs IoT :
- Connaissance des faiblesses communes : Les développeurs devraient se familiariser avec les faiblesses communes trouvées dans les exemples de code et comment elles peuvent affecter leurs projets.
- Réviser et évaluer le code : Une révision minutieuse de tout code copié à partir de plateformes en ligne est nécessaire pour détecter les problèmes potentiels avant qu'ils ne deviennent problématiques.
- Mettre l'accent sur la sécurité : Se concentrer sur la sécurité pendant le processus de développement, plutôt que de la traiter comme une pensée après coup, peut significativement réduire les vulnérabilités.
L'avenir de la sécurité IoT
À mesure que le paysage IoT continue de changer, l'importance des pratiques de codage sécurisées ne fera qu'augmenter. Les développeurs, les éducateurs et les chercheurs jouent tous un rôle crucial pour garantir que la sécurité des appareils IoT suive le rythme de la croissance rapide de la technologie.
Rôle des éducateurs et chercheurs
Les éducateurs devraient viser à fournir une formation qui mette l'accent sur la gestion correcte de la mémoire et la mise en œuvre efficace des fonctions. La recherche sur les vulnérabilités spécifiques qui continuent d'émerger dans le code IoT sera aussi clé pour rester en avance sur les menaces potentielles.
Résumé des résultats
Pour conclure, notre étude révèle les vulnérabilités variées présentes dans les exemples de code liés à l'IoT partagés en ligne. La prévalence des faiblesses concernant les fonctions, les évaluations et la gestion de la mémoire souligne le besoin d'une plus grande sensibilisation parmi les développeurs IoT. En comprenant les implications de ces faiblesses et en mettant en œuvre les meilleures pratiques, les développeurs peuvent contribuer à une sécurité renforcée dans l'écosystème IoT en pleine croissance.
L'augmentation des vulnérabilités au fil du temps, en particulier sur des plateformes comme Arduino, souligne le besoin critique d'une attention continue à la sécurité à mesure que le paysage IoT évolue. Grâce à des mesures proactives, les parties prenantes peuvent travailler ensemble pour atténuer les risques associés à des exemples de code non sécurisés, assurant finalement une expérience IoT plus sûre et plus robuste pour tous les utilisateurs.
Titre: A Large-Scale Study of IoT Security Weaknesses and Vulnerabilities in the Wild
Résumé: Internet of Things (IoT) is defined as the connection between places and physical objects (i.e., things) over the internet/network via smart computing devices. We observed that IoT software developers share solutions to programming questions as code examples on three Stack Exchange Q&A sites: Stack Overflow (SO), Arduino, and Raspberry Pi. Previous research studies found vulnerabilities/weaknesses in C/C++ code examples shared in Stack Overflow. However, the studies did not investigate C/C++ code examples related to IoT. The studies investigated SO code examples only. In this paper, we conduct a large-scale empirical study of all IoT C/C++ code examples shared in the three Stack Exchange sites, i.e., SO, Arduino, and Raspberry Pi. From the 11,329 obtained code snippets from the three sites, we identify 29 distinct CWE (Common Weakness Enumeration) types in 609 snippets. These CWE types can be categorized into 8 general weakness categories, and we observe that evaluation, memory, and initialization related weaknesses are the most common to be introduced by users when posting programming solutions. Furthermore, we find that 39.58% of the vulnerable code snippets contain instances of CWE types that can be mapped to real-world occurrences of those CWE types (i.e. CVE instances). The most number vulnerable IoT code examples was found in Arduino, followed by SO, and Raspberry Pi. Memory type vulnerabilities are on the rise in the sites. For example, from the 3595 mapped CVE instances, we find that 28.99% result in Denial of Service (DoS) errors, which is particularly harmful for network reliant IoT devices such as smart cars. Our study results can guide various IoT stakeholders to be aware of such vulnerable IoT code examples and to inform IoT researchers during their development of tools that can help prevent developers the sharing of such vulnerable code examples in the sites. [Abridged].
Auteurs: Madhu Selvaraj, Gias Uddin
Dernière mise à jour: 2023-08-24 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2308.13141
Source PDF: https://arxiv.org/pdf/2308.13141
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://dl.acm.org/ccs.cfm
- https://arxiv.org/pdf/2104.00634.pdf
- https://rdcu.be/cxhHV
- https://github.com/disa-lab/IoTCodeWeaknessStackExchange
- https://sail.cs.queensu.ca/data/pdfs/Reading_Answers_on_Stack_Overflow_Not_Enough.pdf
- https://giasuddin.files.wordpress.com/2020/11/opinerusagedoctosem2020-2.pdf
- https://sail.cs.queensu.ca/Downloads/TSE2021_AStudyOfC:C++CodeWeaknessesOnStackOverflow.pdf