據外媒PC World報道，法國Eurecom研究中心和德國波鴻-魯爾大學的研究人員發現，路由器、DSL調制解調器、網絡電話等嵌入式設備存在高風險的安全缺陷，廠商并未在這些設備上市前對安全性進行全面測試。

研究人員開發了一個能對固件鏡像文件解壓縮、在模擬環境中運行固件和啟動嵌入式Web服務器的自動平臺。通過對來自54家廠商的1925款嵌入式設備進行研究，他們只在1925個基于Linux的固件鏡像文件中成功啟動了246個固件。

在測試中，研究人員把Web界面代碼分離出來，并在一個通用服務器上運行這些代碼，在不模擬真實固件環境的情況下檢測缺陷。這一測試存在不足之處，但成功對515個固件鏡像文件進行了測試，并發現其中的307個存在缺陷。

研究人員通過靜態和動態分析，在185個固件鏡像文件的基于Web的管理界面中發現重要的安全缺陷，例如命令執行、SQL injection和跨站腳本攻擊，涉及54家廠商中約四分之一廠商的設備。

他們認為，通過對他們的平臺進行調整，這一數字還會增加。研究人員還利用另外一款開放源代碼工具，對從設備固件鏡像文件中提取的PHP代碼進行了靜態分析，在其中的145個固件鏡像文件中發現9046個安全缺陷。

據了解，研究人員致力于開發一種可靠的方法，在不“接觸”相應物理設備的情況下，自動對固件鏡像文件進行測試，而非對固件中的缺陷進行完全掃描。他們沒有人工對代碼進行分析，也沒有使用各種各樣的掃描工具對高級邏輯缺陷進行分析。

這意味著他們發現的都是最容易被發現的問題，都是在任何標準化的安全測試中應當很容易被發現的缺陷。