宁波小程序开发_宁波软件开发_宁波网络公司【昱远信息】 15058005455
网空闲话:数百万智能家居设备使用的软件存在漏洞已被分配

【秦安评语】网络空间狂风骤起,寂静处传来雷声。网络安全不仅是国家安全问题,也是重大民生问题。秦安战略头条特地推出“网络闲谈”专题,深入剖析网络空间蕴含的新生产力、文化力量、国防力量,识别新领域热点、重点、难点。问题与大家的生活、工作、学习息息相关物联网小程序定制,有助于普及网络安全知识,增强网络强权意识,让大家在新时代的网络空间中更有获得感、幸福感、安全感。这篇文章是我同学和网络安全专家的作品。

数以百万计的智能家居设备使用的软件中的一个漏洞的 CVSS3.1 基本评分为 9.6,并被跟踪为 CVE-2021-28372 和 FEYE-2021-0020。黑客可以从婴儿监视器和网络摄像头等设备中窃取音频和视频数据。该漏洞存在于台湾物联网 (IoT) 提供商 ThroughTek 开发的软件协议中,其客户包括中国电子巨头小米。ThroughTek 表示,包括相机供应商 Wyze 在内的其他品牌生产的 8300 万台设备运行该公司的软件。Mandiant 说,要利用该漏洞,攻击者需要对软件协议有“全面的了解”,并获得目标设备使用的唯一标识符。有了这个权限,黑客就可以远程与设备通信,以后可能会造成严重后果。不幸的是,这不仅限于一家制造商。它出现在一个软件开发工具包中,渗透了超过 8300 万台设备,每月有超过 10 亿个互联网连接。CISA 是国土安全部的一部分,计划发布公共咨询以提高对安全问题的认识。

物联网设备软件供应链再爆严重漏洞,数百万设备面临被操控的风险

制造商的回应

有问题的 SDK 是 ThroughTek Kalay 开发app公司有哪些 ,它提供了一个即插即用的系统,用于将智能设备与相应的移动应用程序连接起来。Kalay 平台代理设备及其应用程序之间的连接、处理身份验证以及来回发送命令和数据。例如,Kalay 提供内置功能来协调安全摄像头和可以远程控制摄像头角度的应用程序。安全公司 Mandiant 的研究人员于 2020 年底发现了该严重漏洞,并于 8 月 17 日与国土安全部网络安全和基础设施安全局联合公开披露了该漏洞。

ThroughTek 产品安全事件响应团队的员工 Yi-Ching Chen 表示,公司已将违规事件通知客户物联网小程序定制,并建议他们如何将由此产生的安全风险降至最低。

“我们在开发产品时会认真考虑网络安全问题并采取安全措施,”陈一清在一封电子邮件中说。“我们有一个专门的软件测试团队,以确保我们的软件具有高质量和安全性 app订制公司 ,并定期进行渗透测试。”

ThroughTek 没有回应 WIRED 的置评请求。6 月,该公司发布了 Kalay 3.1. 版本 10 的错误修复。

物联网设备软件供应链再爆严重漏洞,数百万设备面临被操控的风险

网络安全公司做出反应

“你把 Kalay 放进去,它就是这些智能设备需要的粘合剂和功能,”Mandiant 的董事 Jake Valletta 说。“攻击者可以随意连接到设备,获取音频和视频,并使用远程 API,然后执行诸如触发固件更新、更改相机的平移角度或重启设备等操作。” 用户不知道出了什么问题。"

缺陷在于设备与其移动应用程序之间的注册机制。研究人员发现 正规小程序开发公司 ,这种最基本的连接取决于每个设备的“UID”,即唯一的 Kalay 标识符。一旦攻击者获得了设备的 UID(Valletta 说可以通过社会工程攻击获得),或者通过搜索特定制造商的 Web 漏洞利用——以及对 Kalay 协议有一定了解的人,就可以重新注册 UID以及下一次有人在尝试合法访问目标设备时劫持连接。用户会遇到几秒钟的延迟,但从他们的角度来看,一切都会正常工作。

但是,攻击者可以获得每个制造商为其设备设置的特殊凭据——通常是随机的、唯一的用户名和密码。使用 UID 加上这个登录凭证,攻击者可以通过 Kalay 远程控制设备,而无需任何附加条件。攻击者还可以使用对 IP 摄像机等嵌入式设备的完全控制作为深入渗透到目标网络的起点。

通过利用该漏洞,攻击者可以实时观看视频,可能观看敏感的安全镜头,或窥视婴儿床。他们可以通过关闭摄像头或其他设备来发起拒绝服务攻击。或者他们可以在目标设备上安装恶意固件。此外,由于攻击通过获取凭据然后使用 Kalay 远程管理嵌入式设备来进行,因此受害者无法通过擦除或重置其设备来追捕入侵者。黑客可以简单地重复攻击。

物联网设备软件供应链再爆严重漏洞,数百万设备面临被操控的风险

研究人员没有公布 Kalay 协议的分析细节或漏洞是如何被利用的。他们说他们还没有看到利用漏洞的真实证据,他们的目标是提高对该问题的认识,而不是为真正的攻击者提供路线图。Mandiant 的研究人员建议制造商升级到此版本或更高版本,并启用两个 Kalay 产品:加密通信协议 DTLS 和 API 身份验证机制 AuthKey。

“我认为隧道尽头有光明物联网小程序定制,但我不确定是否每个人都必须修补,”瓦莱塔说。“我们已经这样做了很多年,我们一遍又一遍地看到了许多模式和各种漏洞。物联网安全性仍有很多需要追赶的地方。”

Mandiant 建议用户升级他们的软件并采取额外措施来降低漏洞被利用的风险。具体来说,建议确保物联网设备制造商对用于获取 Kalay uid、用户名和密码的 Web API 实施严格控制,以降低攻击者获取远程访问设备所需的敏感信息的能力。如果无法保护返回有效 Kalay uid 的 Web API,攻击者可能会破坏大量设备。

物联网设备软件供应链再爆严重漏洞,数百万设备面临被操控的风险

物联网供应链安全任重道远

物联网行业的安全问题由来已久 专门小程序开发公司 ,一个漏洞通常会影响多个供应商。Mandiant 的主动服务主管杰克瓦莱塔说:“许多消费者认为他们放在家里的设备默认是安全的。” “然而,我们的研究一再表明,对于那些实施物联网设备和协议的人来说,安全并不是首要任务。”

这是数字时代物联网设备漏洞爆发的最新例子。

2021 年 4 月,在智能电视和可穿戴设备等设备的软件中发现了 24 个其他漏洞。

2021 年 6 月 15 日,CISA 发布警告称,数百万联网安全和家用摄像头包含信息泄露漏洞 (CVE-2021-32934),CVSS v3 基础评分为 9. 1。该漏洞存在于ThroughTek的P2P SDK中,由于本地设备与ThroughTek服务器之间的数据明文传输,远程攻击者可以利用该漏洞窃取敏感信息,时隔两个月,同一厂商再现了一个重大漏洞。

2021 年 8 月 16 日,固件安全公司 IoT-Inspector 披露了 Realtek SDK 中的十几个漏洞——从命令注入到影响 UPnP、HTTP(管理 Web 界面)和 Realtek 自定义 Web 服务的内存损坏。通过利用这些漏洞,未经身份验证的远程攻击者可以完全破坏目标设备并以最高权限执行任意代码。最终 专门做app的公司 ,研究人员确定了受这批漏洞影响的至少 65 家不同的供应商,其中有近 200 种设备型号。

物联网设备软件供应链再爆严重漏洞,数百万设备面临被操控的风险

这一系列物联网软件供应链重大漏洞披露事件再次凸显了供应链安全风险日益严峻的形势。

与物联网设备上运行的许多第三方软件一样,ThroughTek 协议被集成到设备制造商和经销商中,因此很难辨别有多少设备可能受到该漏洞的影响。

返回列表

相关动态