uid|物联网设备软件供应链再爆严重漏洞，数百万设备面临被操控的风险_未成年人|信息|左晓栋|自动化

【 uid|物联网设备软件供应链再爆严重漏洞，数百万设备面临被操控的风险】【秦安点评】网络空间风乍起，于无声处听惊雷。网络安全既是国家安全问题，也是重大民生问题，秦安战略头条号专门推出《网空闲话》专题，深度剖析网络空间蕴含的新质生产力、文化力、国防力，把新领域的热点、焦点、难点问题，与大家的生活、工作、学习联系起来，有助于做好网络安全知识普及和网络强国意识提升，让大家在网络空间新时代有更多获得感、幸福感、安全感。本文为我同学，也是一位网络安全大咖的大作。
Mandianat公司的研究人员当地时间周二表示，数百万智能家居设备使用的软件存在漏洞，此漏洞已被分配CVSS3.1基础分数为9.6，并被跟踪为CVE-2021-28372和FEYE-2021-0020。黑客可能会窃取婴儿监视器和网络摄像头等设备上的音频和视频数据。该漏洞存在于台湾物联网(IoT)供应商ThroughTek开发的一个软件协议中，该公司的客户包括中国电子巨头小米。ThroughTek说，相机供应商Wyze等其他品牌生产的8,300万台设备运行该公司的软件。Mandiant表示，要利用这一漏洞，攻击者需要对软件协议有“全面的了解”，并获取目标设备使用的唯一标识符。有了这种权限，黑客就可以远程与设备进行通信，可能会导致后续的严重后果。糟糕的是，这并不局限于某个制造商。它出现在一个软件开发工具包中，渗透到8300多万台设备中，每个月有超过10亿的互联网连接。国土安全部下属CISA计划发布一项公众建议，以提高人们对安全问题的认识。

文章插图
涉事厂家反应所涉及的SDK是ThroughTek Kalay，它提供一种即插即用的系统，用于将智能设备与相应的移动应用程序连接起来。Kalay平台代理设备及其应用程序之间的连接，处理身份验证，并来回发送命令和数据。例如，Kalay提供了内置功能，可以协调安全摄像头和可以远程控制摄像头角度的应用程序。安全公司Mandiant的研究人员在2020年底发现了这一严重漏洞，他们于8月17日与国土安全部的网络安全和基础设施安全局(Cybersecurity and Infrastructure security Agency)一起公开披露了这一漏洞。
ThroughTek产品安全事件响应小组(Product Security Incident Response Team)的员工陈怡清(Yi-Ching Chen，音)说，该公司已经通知客户该漏洞，并建议他们如何将由此引发的安全风险降至最低。
“我们认真考虑网络安全问题，并在开发产品时采取了安全措施，”陈怡清在一封电子邮件中说。“我们有一个专门的软件测试团队，以确保我们的软件具有很高的质量和安全性，并定期进行渗透测试。”
ThroughTek没有回复《连线》杂志的置评请求。今年6月，该公司发布了Kalay 3.1.10版本的漏洞修复程序。

文章插图
网络安全公司反应曼迪昂特(Mandiant)的董事杰克?瓦莱塔(Jake Valletta)表示，你把Kalay植入其中，它就是这些智能设备所需的粘合剂和功能。”“攻击者可以随意连接到设备，获取音频和视频，并使用远程API，然后做一些事情，如触发固件更新，改变相机的平移角度，或重启设备。而用户却不知道哪里出了问题。”
缺陷在于设备与其移动应用程序之间的注册机制。研究人员发现，这种最基本的连接取决于每个设备的“UID”，一个独特的Kalay标识符。攻击者一旦掌握了设备的UID(瓦莱塔称可以通过社会工程攻击获得)，或者通过搜索特定制造商的web漏洞——并且对Kalay协议有所了解的人可以重新注册UID，并在下一次有人试图合法访问目标设备时劫持连接。用户将会经历几秒钟的延迟，但是从他们的角度来看，一切都会正常进行。