Al parecer, los proveedores de sistemas embebidos no son buenos en la aplicación de la garantía de calidad de sus imágenes de firmware y de su software de servidor web incorporado.

Estos errores afectan a todo tipo de cosas, desde dispositivos de banda ancha para el hogar, cámaras de CCTV y teléfonos VoIP.

Esa es la conclusión a la que llegan investigadores de Eurecom en colaboración con la Universidad de Ruhr en Bochum. En un estudio de Arxiv se probaron las interfaces web de los productos de 54 proveedores y se encontró que una cuarta parte de ellos tenía implementaciones vulnerables.

A nivel del producto, las cosas están un poco mejor. Los investigadores dijeron que de 1,925 productos de firmware, sólo se detectaron 185 imágenes con errores y servidores web inseguros.

La investigación encontró que las vulnerabilidades de cross-site scripting son las más comunes, seguidas por la manipulación de archivos y la inyección de comandos.

La herramienta que crearon está diseñada para realizar "la emulación de todo el sistema y para lograr la ejecución de las imágenes de firmware en un sólo entorno de software, es decir, sin la participación de todos los dispositivos embebidos físicamente."

Las fuentes de servidorese web probados en la investigación incluyen minihttpd, LightHTTPD, boa, thttpd y Empty Banner.