RSAC 2025创新沙盒 | Metalware：专注嵌入式系统固件安全

Metalware是公司名称，也是一套软件名称。其主要针对嵌入式固件进行分解、仿真和模糊测试，其切入点非常准，因为现有的开源工具中没有可以同时完成嵌入式固件的成分分析和模糊测试的能力，足见其创始人在该领域的钻研之深。

公司成立于2023 年 6 月，核心创始人有两个，分别是Ryan Chow和Andrew Nedea。两人在SpaceX相识，主要为星链相关设备研发嵌入式固件程序，两人对嵌入式设备的底层代码的研究比较透彻。创建Metalware之前，Ryan Chow在SpaceX工作了6年，全部工作经验约10年，创始人团队相对年轻。除2人以外的其他团队成员尚不明确，crunchbase中显示公司成员为两个人[1]。

2023年9月6日，获得8位投资人的300万美元的融资[2]，至今为止，暂时没有获得其他融资。但由于其人员不多，短时间也不会有财务上的风险。

Metalware专门对嵌入式固件程序进行模糊测试，以发现更多的0day漏洞。从产品力易用性和效果方面来看，它有以下三个效果：在可用性方面，其测试过程可以应用在SDL的流程上；在可扩展性方面，其测试目标可以是单个设备，也可以是多个设备的组合；在效率方面，它可以在几小时之内给出可用结果，相比手动测试工作量减少了一半以上，发现关键漏洞的能力提高了2-3倍。

为了达到以上效果，Metalware主要做了三件事。第一，实现了仿真平台，该平台可以自动提取固件成分，分析并运行固件来进行动态测试。其动态测试过程监测的是运行过程中的内存变化，而不仅仅是分析程序是否触发了可观测的异常（如僵死，崩溃等）。

第二，构建了针对嵌入式设备的模糊测试引擎，以基于覆盖率的模糊测试方法为基础，结合符号执行以检测异常。为了更高效、准确地运行固件，其构造了引导器以确保芯片固件可以在仿真阶段正确初始化，同时构造ARM Cortex M系列芯片的外围寄存器响应机制，并实现为MMIO，以保证芯片的各项通讯功能的正确响应。根据其描述来看，Metalware使用的应该是类似AFL++的模糊测试工具，在使用仿真平台将其模拟执行成功之后，对运行时的固件进行模糊测试。作为补充，使用符号执行技术，最终结合两种测试的结论输出测试结果。

第三，通过分析堆栈数据，结合CWE对漏洞进行分类，记录异常产生的确切条件。其内部的日志系统也可以准确地帮助使用者复现漏洞，以帮助快速修复漏洞。

由于Metalware的测试对象（嵌入式设备）的应用领域较广，所以其测试工具在航空航天、医疗、汽车、工控、物联网等多个领域均可使用。嵌入式设备种类多样与功能复杂，导致对这类设备的通用自动化测试的效果并不明显，如果其测试工具如其介绍所说，可以做到精准的漏洞发现与复现，其价值不言而喻。

Metalware目前完全支持 ARMv6-M 和 ARMv7-M（32 位 ARM Cortex-M 微控制器），支持所有裸机和 RTOS 应用程序。操作系统方面，支持 FreeRTOS、VxWorks、QNX、ThreadX、Zephyr 和 Nucleus等小型实时操作系统。不支持Linux和Windows这类成熟的操作系统。这意味着它只适用于低功耗的专业嵌入式设备。

由于这类设备的外部通信控制往往依赖内部寄存器来控制不用的外设，所以Metalware开发了MMIO以模拟外设对芯片的响应，以排除芯片的寄存器状态因找不到外设而与真实设备状态不符，引发误报。

Metalware适用于三类人群，分别是攻击队、甲方安全团队以及监管机构。攻击队可以挖掘更多的0day，以充实攻击武器库。甲方安全团队可以提前检测出更多的软件漏洞，进而今早修复产品漏洞。监管机构可以使用该软件对嵌入式设备进行测试，以通报相应企业进行整改。

Refirm-labs[3]是2018年创新沙盒的入围厂商，其创建者，也是binwalk工具的发明人devttys0，该公司于2021年6月被微软收购，收购金额不确定。

Eclypsium[4]是2019年创新沙盒的入围厂商，相比Refirm-labs，公司发展迅速且有竞争力。公司累计融资超过一亿美元，近两年融资约8000万美元，主要原因是拓展了一部分业务到供应链安全。现在累计被评为 Gartner Cool Vendor、TAG Cyber Distinguished Vendor、Fast Company 全球 10 家最具创新力的安全公司之一、CNBC Upstart 100、CB Insights Cyber Defender 和 RSAC 创新沙盒 2019决赛入围者。

FACT[5]是一个开源的固件扫描平台，可用过docker和源码部署两种方式，搭建在Linux操作系统中。FACT的核心功能是对固件拆解，以对不同格式的文件或者成分进行分析，对可执行的程序，可以使用qemu进行动态仿真，也可以发现固件中潜在的CVE漏洞和CWE缺陷。然而，FACT无法做到模糊测试，只提供了基础的软件成分分析。一般情况下，应对固件的模糊测试需要使用AFL++、dyninst或者Firm-AFL这类模糊测试工具来解决。

自2017年以来，这已经是第三家设备固件安全相关的厂商，前两个厂商中，一家被收购，另一家转型做软件成分的分析和数字供应链安全后，获得更多的融资，得以快速发展。Metalware提供了固件模糊测试的方案，目标是希望在设备出售之前（也就是固件暴露在市场之前），帮助企业发现更多的安全隐患以及时修复，切入点也非常准。希望Metalware的融资顺利，以争取做更多有价值的工作，将嵌入式设备的安全性分析做到极致。

当前，各个国家陆续出台法规明确提出对物联网设备的安全要求，来提高物联网设备的安全性，在法规的推动下，Metalware的确有其用武之地。再加上Metalware在嵌入式固件领域的深度耕耘，未来前景明朗。

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。