مشکلات جدی در سیستم عامل FreeRTOS IOT آمازون

amazon freertos iot operating system

محققان امنیتی چندید آسیب پذیری خطرناک در یک از رایج‌ترین سیستم عامل های بلادرنگ (با عنوان  FreeRTOS)   پیدا کرده اند. این آسیب‌پذیری طیف وسیعی از دستگاه‌هایی که از اینترنت اشیا استفاده می کنند، سیستم های زیرساختی حیاتی را تحت تاثیر قرار می‌دهد.

 FreeRTOS  چیست؟

FreeRTOS ، یک سیستم عامل بلادرنگ متن باز است که برای سیستم هایی که بیشتر از 40 میکروکنترلر در خود دارند طراحی شده است که در شاخه‌های اینترنت اشیا، هوافضا، پزشکی، صنعت خودروسازی و موارد دیگر کاربرد دارند. RTOS   به طور خاص برای این طراحی شده است که در هر لحظه برنامه‌ها بتوانند با دقت بالا و زمانبندی دقیق و بیشترین درصد اطمینان عملکرد اجرا شوند. قلب مصنوعی بهترین مثال برای سیستم های بلادرنگ می‌باشد که در زمان مشخص باعث عملکرد ماهیچه های قلب می‌شود ، این پروسه به هیچ وجه نباید با تاخیر همراه باشد تا جان فردی که از آن استفاده می کند به خطر نیفتد .

از سال گذشته، پروژه FreeRTOS توسط آمازون مدیریت می‌شود، که با ارتقا و اضافه کردن چند کامپوننت به هسته FreeRTOS منجر به ساخت سیستم عامل Amazon FreeRTOS ) a:FreeRTOS ) برای میکروکنترلرها گردید. آمازون با اضافه کردن ماژول‌هایی برای اتصال امن، به روزرسانی از طریق wireless، امضای کد، پشتیبانی ابری AWS  و … قابلیت‌های FreeRTOS را افزایش داد.

علاوه بر آمازون شرکت WHIS دونسخه جدید از FreeRTOS با نام‌های WHIS OpenRTOS  ( نسخه تجاری) و نسخه ایمنی گرا با نام  SafeRTOS  ( برای دستگاه های امنیتی) را منتشر کرد.

آسیب پذیری های FreeRTOS و وصله‌های امنیتی

Ori karliner ، محقق امنیتی در zLabs در مجموع 13 آسیب پذیری در نسخه  FreeRTOSدر بخش پشته TCP/IP کشف کرده است که این آسیب پذیری‌‌ها همان طور که در زیر نشان داده شده  در نسخ منتشر شده توسط دو شرکت آمازون و WHIS نیز موجود است:

freertos security flaws

این آسیب پذیری‌ها به هکر اجازه می‌دهد تا با کرش کردن دستگاه قربانی موفق به دزدین اطلاعات از مموری شود و خطرناک تر از آن به مهاجم اجازه می‌دهد از راه دور کد آلوده خود را اجرا کرده و در نهایت کنترل کامل دستگاه قربانی را بر عهده بگیرد.

بر اساس گفته های محققین این آسیب پذیری ها در نسخه های FreeRTOS تا ورژن 10.0.1 و AWS FreeRTOS تا نسخه 1.3.2  وجود دارد. Zimperium   آسیب‌پذیری‌های موجود را به شرکت آمازون اطلاع داده و شرکت، وصله‌های خود برای AWS FreeRTOS versions 1.3.2 و  (onwards ( v1.4.2 را منتشر کرده است.

برای جلوگیری از سواستفاده هکرها zLabs جزییات این آسیب پذیری ها را منتشر نکرده است تا همه استفاده کننده‌ها فرصت بروز رسانی دستگاه‌های خود را داشته باشند.

Critical Flaws Found in Amazon FreeRTOS IoT Operating System