Mandianat公司的研究人員當?shù)貢r間周二表示，數(shù)百萬智能家居設(shè)備使用的軟件存在漏洞，此漏洞已被分配CVSS3.1基礎(chǔ)分數(shù)為9.6，并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會竊取嬰兒監(jiān)視器和網(wǎng)絡攝像頭等設(shè)備上的音頻和視頻數(shù)據(jù)。該漏洞存在于臺灣物聯(lián)網(wǎng)（IoT）供應商ThroughTek開發(fā)的一個軟件協(xié)議中，該公司的客戶包括中國電子巨頭小米。ThroughTek說，相機供應商Wyze等其他品牌生產(chǎn)的8,300萬臺設(shè)備運行該公司的軟件。Mandiant表示，要利用這一漏洞，攻擊者需要對軟件協(xié)議有“全面的了解”，并獲取目標設(shè)備使用的唯一標識符。有了這種權(quán)限，黑客就可以遠程與設(shè)備進行通信，可能會導致后續(xù)的嚴重后果。糟糕的是，這并不局限于某個制造商。它出現(xiàn)在一個軟件開發(fā)工具包中，滲透到8300多萬臺設(shè)備中，每個月有超過10億的互聯(lián)網(wǎng)連接。國土安全部下屬CISA計劃發(fā)布一項公眾建議，以提高人們對安全問題的認識。

　　涉事廠家反應

　　所涉及的SDK是ThroughTek Kalay，它提供一種即插即用的系統(tǒng)，用于將智能設(shè)備與相應的移動應用程序連接起來。Kalay平臺代理設(shè)備及其應用程序之間的連接，處理身份驗證，并來回發(fā)送命令和數(shù)據(jù)。例如，Kalay提供了內(nèi)置功能，可以協(xié)調(diào)安全攝像頭和可以遠程控制攝像頭角度的應用程序。安全公司Mandiant的研究人員在2020年底發(fā)現(xiàn)了這一嚴重漏洞，他們于8月17日與國土安全部的網(wǎng)絡安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure security Agency）一起公開披露了這一漏洞。

　　ThroughTek產(chǎn)品安全事件響應小組（Product Security Incident Response Team）的員工陳怡清（Yi-Ching Chen，音）說，該公司已經(jīng)通知客戶該漏洞，并建議他們?nèi)绾螌⒂纱艘l(fā)的安全風險降至最低。

　　“我們認真考慮網(wǎng)絡安全問題，并在開發(fā)產(chǎn)品時采取了安全措施，”陳怡清在一封電子郵件中說。“我們有一個專門的軟件測試團隊，以確保我們的軟件具有很高的質(zhì)量和安全性，并定期進行滲透測試。”

　　ThroughTek沒有回復《連線》雜志的置評請求。今年6月，該公司發(fā)布了Kalay 3.1.10版本的漏洞修復程序。

　　網(wǎng)絡安全公司反應

　　曼迪昂特（Mandiant）的董事杰克？瓦萊塔（Jake Valletta）表示，你把Kalay植入其中，它就是這些智能設(shè)備所需的粘合劑和功能。“”攻擊者可以隨意連接到設(shè)備，獲取音頻和視頻，并使用遠程API，然后做一些事情，如觸發(fā)固件更新，改變相機的平移角度，或重啟設(shè)備。而用戶卻不知道哪里出了問題。“

　　缺陷在于設(shè)備與其移動應用程序之間的注冊機制。研究人員發(fā)現(xiàn)，這種最基本的連接取決于每個設(shè)備的”UID“，一個獨特的Kalay標識符。攻擊者一旦掌握了設(shè)備的UID（瓦萊塔稱可以通過社會工程攻擊獲得），或者通過搜索特定制造商的web漏洞——并且對Kalay協(xié)議有所了解的人可以重新注冊UID，并在下一次有人試圖合法訪問目標設(shè)備時劫持連接。用戶將會經(jīng)歷幾秒鐘的延遲，但是從他們的角度來看，一切都會正常進行。

　　不過，攻擊者可以獲取每個制造商為其設(shè)備設(shè)置的特殊憑證——通常是一個隨機的、唯一的用戶名和口令。有了UID加上這個登錄憑證，攻擊者就可以通過Kalay遠程控制設(shè)備，而不需要任何其他條件。攻擊者還可能利用對IP攝像頭等嵌入式設(shè)備的完全控制作為起點，深入滲透目標的網(wǎng)絡。

　　通過利用該漏洞，攻擊者可以實時觀看視頻，可能會觀看敏感的安全視頻，或偷看嬰兒床內(nèi)部。他們可以通過關(guān)閉攝像頭或其他設(shè)備來發(fā)起拒絕服務攻擊。或者他們可以在目標設(shè)備上安裝惡意固件。此外，由于攻擊的工作原理是獲取憑證，然后使用Kalay遠程管理嵌入式設(shè)備，因此受害者無法通過清除或重置他們的設(shè)備來獵殺入侵者。黑客們可以簡單地反復發(fā)動攻擊。

　　研究人員沒有公布Kalay協(xié)議分析的細節(jié)，也沒有公布如何利用該漏洞的細節(jié)。他們說，他們還沒有看到現(xiàn)實世界中利用漏洞的證據(jù)，他們的目標是提高人們對這個問題的認識，而不是給真正的攻擊者一個路線圖。Mandiant的研究人員建議制造商升級到這個版本或更高版本，并啟用兩種Kalay產(chǎn)品：加密通信協(xié)議DTLS和API認證機制AuthKey。

　　瓦萊塔說：”我認為隧道盡頭有光明，但我不確定是否每個人都要修補。“”我們已經(jīng)這樣做了多年，一次又一次地看到許多模式和各種漏洞。物聯(lián)網(wǎng)安全仍有很多方面需要迎頭趕上。“

　　Mandiant建議用戶升級他們的軟件，并采取額外措施，以降低漏洞被利用的風險。具體為建議確保物聯(lián)網(wǎng)設(shè)備制造商對用于獲取Kalay uid、用戶名和口令的web API實施嚴格控制，以減少攻擊者獲取遠程訪問設(shè)備所需的敏感信息的能力。無法保護返回有效Kalay uid的web API可能會讓攻擊者危及大量設(shè)備。

　　物聯(lián)網(wǎng)供應連安全路漫漫

　　物聯(lián)網(wǎng)行業(yè)的安全問題由來已久，單個漏洞往往會影響多個供應商。”許多消費者相信，他們放在家里的設(shè)備在默認情況下是安全的，“曼迪昂特主動服務總監(jiān)杰克·瓦萊塔（Jake Valletta）說。”然而，我們的研究一再表明，安全不是那些實施物聯(lián)網(wǎng)設(shè)備和協(xié)議的優(yōu)先事項。“

　　這是數(shù)字時代物聯(lián)網(wǎng)設(shè)備漏洞爆發(fā)的最新例子。

　　2021年4月，智能電視和可穿戴設(shè)備等設(shè)備的軟件中還發(fā)現(xiàn)了24個漏洞。

　　2021年06月15日，CISA發(fā)布預警，數(shù)以百萬計的聯(lián)網(wǎng)安全和家用攝像頭包含一個信息泄露漏洞（CVE-2021-32934），其CVSS v3基本評分為9.1。該漏洞存在于ThroughTek的P2P SDK中。由于本地設(shè)備和ThroughTek 服務器之間明文傳輸數(shù)據(jù)，遠程攻擊者可以通過利用此漏洞竊取敏感信息。時隔2月，同樣的廠商再現(xiàn)重磅漏洞。

　　2021年8月16日，固件安全公司IoT-Inspector爆出Realtek SDK的十多個漏洞——從命令注入到影響UPnP、HTTP（管理web界面）和Realtek定制網(wǎng)絡服務的內(nèi)存損壞。通過利用這些漏洞，遠程未經(jīng)身份驗證的攻擊者可以完全破壞目標設(shè)備，并以最高權(quán)限執(zhí)行任意代碼。最終研究人員確定了至少65個不同的供應商受這批漏洞影響，近200個型號的設(shè)備在影響之列。

　　這一系列物聯(lián)網(wǎng)軟件供應鏈的重大漏洞披露事件，再次凸顯供應鏈安全風險日趨嚴峻的態(tài)勢。

　　在物聯(lián)網(wǎng)設(shè)備上運行的許多第三方軟件一樣，ThroughTek協(xié)議被集成到設(shè)備制造商和經(jīng)銷商中，因此很難辨別有多少設(shè)備可能受到該缺陷的影響。