Mandianat公司的研究人員當地時間周二表示，數百萬智能家居設備使用的軟件存在漏洞，此漏洞已被分配CVSS3.1基礎分數為9.6，并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會竊取嬰兒監(jiān)視器和網絡攝像頭等設備上的音頻和視頻數據。該漏洞存在于臺灣物聯網（IoT）供應商ThroughTek開發(fā)的一個軟件協議中，該公司的客戶包括中國電子巨頭小米。ThroughTek說，相機供應商Wyze等其他品牌生產的8,300萬臺設備運行該公司的軟件。Mandiant表示，要利用這一漏洞，攻擊者需要對軟件協議有“全面的了解”，并獲取目標設備使用的唯一標識符。有了這種權限，黑客就可以遠程與設備進行通信，可能會導致后續(xù)的嚴重后果。糟糕的是，這并不局限于某個制造商。它出現在一個軟件開發(fā)工具包中，滲透到8300多萬臺設備中，每個月有超過10億的互聯網連接。國土安全部下屬CISA計劃發(fā)布一項公眾建議，以提高人們對安全問題的認識。

　　涉事廠家反應

　　所涉及的SDK是ThroughTek Kalay，它提供一種即插即用的系統，用于將智能設備與相應的移動應用程序連接起來。Kalay平臺代理設備及其應用程序之間的連接，處理身份驗證，并來回發(fā)送命令和數據。例如，Kalay提供了內置功能，可以協調安全攝像頭和可以遠程控制攝像頭角度的應用程序。安全公司Mandiant的研究人員在2020年底發(fā)現了這一嚴重漏洞，他們于8月17日與國土安全部的網絡安全和基礎設施安全局（Cybersecurity and Infrastructure security Agency）一起公開披露了這一漏洞。

　　ThroughTek產品安全事件響應小組（Product Security Incident Response Team）的員工陳怡清（Yi-Ching Chen，音）說，該公司已經通知客戶該漏洞，并建議他們如何將由此引發(fā)的安全風險降至最低。

　　“我們認真考慮網絡安全問題，并在開發(fā)產品時采取了安全措施，”陳怡清在一封電子郵件中說?！拔覀冇幸粋€專門的軟件測試團隊，以確保我們的軟件具有很高的質量和安全性，并定期進行滲透測試?！?/p>

　　ThroughTek沒有回復《連線》雜志的置評請求。今年6月，該公司發(fā)布了Kalay 3.1.10版本的漏洞修復程序。

　　網絡安全公司反應

　　曼迪昂特（Mandiant）的董事杰克？瓦萊塔（Jake Valletta）表示，你把Kalay植入其中，它就是這些智能設備所需的粘合劑和功能?！啊惫粽呖梢噪S意連接到設備，獲取音頻和視頻，并使用遠程API，然后做一些事情，如觸發(fā)固件更新，改變相機的平移角度，或重啟設備。而用戶卻不知道哪里出了問題?！?/p>

　　缺陷在于設備與其移動應用程序之間的注冊機制。研究人員發(fā)現，這種最基本的連接取決于每個設備的”UID“，一個獨特的Kalay標識符。攻擊者一旦掌握了設備的UID（瓦萊塔稱可以通過社會工程攻擊獲得），或者通過搜索特定制造商的web漏洞——并且對Kalay協議有所了解的人可以重新注冊UID，并在下一次有人試圖合法訪問目標設備時劫持連接。用戶將會經歷幾秒鐘的延遲，但是從他們的角度來看，一切都會正常進行。

　　不過，攻擊者可以獲取每個制造商為其設備設置的特殊憑證——通常是一個隨機的、唯一的用戶名和口令。有了UID加上這個登錄憑證，攻擊者就可以通過Kalay遠程控制設備，而不需要任何其他條件。攻擊者還可能利用對IP攝像頭等嵌入式設備的完全控制作為起點，深入滲透目標的網絡。

　　通過利用該漏洞，攻擊者可以實時觀看視頻，可能會觀看敏感的安全視頻，或偷看嬰兒床內部。他們可以通過關閉攝像頭或其他設備來發(fā)起拒絕服務攻擊?；蛘咚麄兛梢栽谀繕嗽O備上安裝惡意固件。此外，由于攻擊的工作原理是獲取憑證，然后使用Kalay遠程管理嵌入式設備，因此受害者無法通過清除或重置他們的設備來獵殺入侵者。黑客們可以簡單地反復發(fā)動攻擊。

　　研究人員沒有公布Kalay協議分析的細節(jié)，也沒有公布如何利用該漏洞的細節(jié)。他們說，他們還沒有看到現實世界中利用漏洞的證據，他們的目標是提高人們對這個問題的認識，而不是給真正的攻擊者一個路線圖。Mandiant的研究人員建議制造商升級到這個版本或更高版本，并啟用兩種Kalay產品：加密通信協議DTLS和API認證機制AuthKey。

　　瓦萊塔說：”我認為隧道盡頭有光明，但我不確定是否每個人都要修補?！啊蔽覀円呀涍@樣做了多年，一次又一次地看到許多模式和各種漏洞。物聯網安全仍有很多方面需要迎頭趕上?！?/p>

　　Mandiant建議用戶升級他們的軟件，并采取額外措施，以降低漏洞被利用的風險。具體為建議確保物聯網設備制造商對用于獲取Kalay uid、用戶名和口令的web API實施嚴格控制，以減少攻擊者獲取遠程訪問設備所需的敏感信息的能力。無法保護返回有效Kalay uid的web API可能會讓攻擊者危及大量設備。

　　物聯網供應連安全路漫漫

　　物聯網行業(yè)的安全問題由來已久，單個漏洞往往會影響多個供應商?！痹S多消費者相信，他們放在家里的設備在默認情況下是安全的，“曼迪昂特主動服務總監(jiān)杰克·瓦萊塔（Jake Valletta）說?！比欢?，我們的研究一再表明，安全不是那些實施物聯網設備和協議的優(yōu)先事項。“

　　這是數字時代物聯網設備漏洞爆發(fā)的最新例子。

　　2021年4月，智能電視和可穿戴設備等設備的軟件中還發(fā)現了24個漏洞。

　　2021年06月15日，CISA發(fā)布預警，數以百萬計的聯網安全和家用攝像頭包含一個信息泄露漏洞（CVE-2021-32934），其CVSS v3基本評分為9.1。該漏洞存在于ThroughTek的P2P SDK中。由于本地設備和ThroughTek 服務器之間明文傳輸數據，遠程攻擊者可以通過利用此漏洞竊取敏感信息。時隔2月，同樣的廠商再現重磅漏洞。

　　2021年8月16日，固件安全公司IoT-Inspector爆出Realtek SDK的十多個漏洞——從命令注入到影響UPnP、HTTP（管理web界面）和Realtek定制網絡服務的內存損壞。通過利用這些漏洞，遠程未經身份驗證的攻擊者可以完全破壞目標設備，并以最高權限執(zhí)行任意代碼。最終研究人員確定了至少65個不同的供應商受這批漏洞影響，近200個型號的設備在影響之列。

　　這一系列物聯網軟件供應鏈的重大漏洞披露事件，再次凸顯供應鏈安全風險日趨嚴峻的態(tài)勢。

　　在物聯網設備上運行的許多第三方軟件一樣，ThroughTek協議被集成到設備制造商和經銷商中，因此很難辨別有多少設備可能受到該缺陷的影響。