Mandianat公司的研究人員當?shù)貢r間周二表示,，數(shù)百萬智能家居設備使用的軟件存在漏洞，此漏洞已被分配CVSS3.1基礎分數(shù)為9.6，并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會竊取嬰兒監(jiān)視器和網(wǎng)絡攝像頭等設備上的音頻和視頻數(shù)據(jù),。該漏洞存在于臺灣物聯(lián)網(wǎng)（IoT）供應商ThroughTek開發(fā)的一個軟件協(xié)議中，該公司的客戶包括中國電子巨頭小米,。ThroughTek說,，相機供應商Wyze等其他品牌生產(chǎn)的8,300萬臺設備運行該公司的軟件。Mandiant表示,，要利用這一漏洞,，攻擊者需要對軟件協(xié)議有“全面的了解”，并獲取目標設備使用的唯一標識符,。有了這種權(quán)限，黑客就可以遠程與設備進行通信,，可能會導致后續(xù)的嚴重后果,。糟糕的是，這并不局限于某個制造商,。它出現(xiàn)在一個軟件開發(fā)工具包中,，滲透到8300多萬臺設備中，每個月有超過10億的互聯(lián)網(wǎng)連接,。國土安全部下屬CISA計劃發(fā)布一項公眾建議,，以提高人們對安全問題的認識。

　　涉事廠家反應

　　所涉及的SDK是ThroughTek Kalay,，它提供一種即插即用的系統(tǒng),，用于將智能設備與相應的移動應用程序連接起來。Kalay平臺代理設備及其應用程序之間的連接,，處理身份驗證,，并來回發(fā)送命令和數(shù)據(jù)。例如，Kalay提供了內(nèi)置功能,，可以協(xié)調(diào)安全攝像頭和可以遠程控制攝像頭角度的應用程序,。安全公司Mandiant的研究人員在2020年底發(fā)現(xiàn)了這一嚴重漏洞，他們于8月17日與國土安全部的網(wǎng)絡安全和基礎設施安全局（Cybersecurity and Infrastructure security Agency）一起公開披露了這一漏洞,。

　　ThroughTek產(chǎn)品安全事件響應小組（Product Security Incident Response Team）的員工陳怡清（Yi-Ching Chen,，音）說，該公司已經(jīng)通知客戶該漏洞,，并建議他們?nèi)绾螌⒂纱艘l(fā)的安全風險降至最低,。

　　“我們認真考慮網(wǎng)絡安全問題，并在開發(fā)產(chǎn)品時采取了安全措施,，”陳怡清在一封電子郵件中說,。“我們有一個專門的軟件測試團隊,，以確保我們的軟件具有很高的質(zhì)量和安全性,，并定期進行滲透測試?！?/p>

　　ThroughTek沒有回復《連線》雜志的置評請求,。今年6月，該公司發(fā)布了Kalay 3.1.10版本的漏洞修復程序,。

　　網(wǎng)絡安全公司反應

　　曼迪昂特（Mandiant）的董事杰克,？瓦萊塔（Jake Valletta）表示，你把Kalay植入其中,，它就是這些智能設備所需的粘合劑和功能,。“”攻擊者可以隨意連接到設備,，獲取音頻和視頻,，并使用遠程API，然后做一些事情,，如觸發(fā)固件更新,，改變相機的平移角度，或重啟設備,。而用戶卻不知道哪里出了問題,。“

　　缺陷在于設備與其移動應用程序之間的注冊機制,。研究人員發(fā)現(xiàn),，這種最基本的連接取決于每個設備的”UID“，一個獨特的Kalay標識符,。攻擊者一旦掌握了設備的UID（瓦萊塔稱可以通過社會工程攻擊獲得）,，或者通過搜索特定制造商的web漏洞——并且對Kalay協(xié)議有所了解的人可以重新注冊UID,，并在下一次有人試圖合法訪問目標設備時劫持連接。用戶將會經(jīng)歷幾秒鐘的延遲,，但是從他們的角度來看,，一切都會正常進行。

　　不過,，攻擊者可以獲取每個制造商為其設備設置的特殊憑證——通常是一個隨機的,、唯一的用戶名和口令。有了UID加上這個登錄憑證,，攻擊者就可以通過Kalay遠程控制設備,，而不需要任何其他條件。攻擊者還可能利用對IP攝像頭等嵌入式設備的完全控制作為起點,，深入滲透目標的網(wǎng)絡,。

　　通過利用該漏洞，攻擊者可以實時觀看視頻,，可能會觀看敏感的安全視頻,，或偷看嬰兒床內(nèi)部。他們可以通過關閉攝像頭或其他設備來發(fā)起拒絕服務攻擊,?；蛘咚麄兛梢栽谀繕嗽O備上安裝惡意固件。此外,，由于攻擊的工作原理是獲取憑證,，然后使用Kalay遠程管理嵌入式設備，因此受害者無法通過清除或重置他們的設備來獵殺入侵者,。黑客們可以簡單地反復發(fā)動攻擊,。

　　研究人員沒有公布Kalay協(xié)議分析的細節(jié)，也沒有公布如何利用該漏洞的細節(jié),。他們說,，他們還沒有看到現(xiàn)實世界中利用漏洞的證據(jù)，他們的目標是提高人們對這個問題的認識,，而不是給真正的攻擊者一個路線圖,。Mandiant的研究人員建議制造商升級到這個版本或更高版本,，并啟用兩種Kalay產(chǎn)品：加密通信協(xié)議DTLS和API認證機制AuthKey,。

　　瓦萊塔說：”我認為隧道盡頭有光明，但我不確定是否每個人都要修補,?！啊蔽覀円呀?jīng)這樣做了多年，一次又一次地看到許多模式和各種漏洞,。物聯(lián)網(wǎng)安全仍有很多方面需要迎頭趕上,?！?/p>

　　Mandiant建議用戶升級他們的軟件，并采取額外措施,，以降低漏洞被利用的風險,。具體為建議確保物聯(lián)網(wǎng)設備制造商對用于獲取Kalay uid、用戶名和口令的web API實施嚴格控制,，以減少攻擊者獲取遠程訪問設備所需的敏感信息的能力,。無法保護返回有效Kalay uid的web API可能會讓攻擊者危及大量設備。

　　物聯(lián)網(wǎng)供應連安全路漫漫

　　物聯(lián)網(wǎng)行業(yè)的安全問題由來已久,，單個漏洞往往會影響多個供應商,。”許多消費者相信,，他們放在家里的設備在默認情況下是安全的,，“曼迪昂特主動服務總監(jiān)杰克·瓦萊塔（Jake Valletta）說?！比欢?，我們的研究一再表明，安全不是那些實施物聯(lián)網(wǎng)設備和協(xié)議的優(yōu)先事項,?！?/p>

　　這是數(shù)字時代物聯(lián)網(wǎng)設備漏洞爆發(fā)的最新例子。

　　2021年4月,，智能電視和可穿戴設備等設備的軟件中還發(fā)現(xiàn)了24個漏洞,。

　　2021年06月15日，CISA發(fā)布預警,，數(shù)以百萬計的聯(lián)網(wǎng)安全和家用攝像頭包含一個信息泄露漏洞（CVE-2021-32934）,，其CVSS v3基本評分為9.1。該漏洞存在于ThroughTek的P2P SDK中,。由于本地設備和ThroughTek 服務器之間明文傳輸數(shù)據(jù),，遠程攻擊者可以通過利用此漏洞竊取敏感信息。時隔2月,，同樣的廠商再現(xiàn)重磅漏洞,。

　　2021年8月16日，固件安全公司IoT-Inspector爆出Realtek SDK的十多個漏洞——從命令注入到影響UPnP,、HTTP（管理web界面）和Realtek定制網(wǎng)絡服務的內(nèi)存損壞,。通過利用這些漏洞，遠程未經(jīng)身份驗證的攻擊者可以完全破壞目標設備,，并以最高權(quán)限執(zhí)行任意代碼,。最終研究人員確定了至少65個不同的供應商受這批漏洞影響，近200個型號的設備在影響之列,。

　　這一系列物聯(lián)網(wǎng)軟件供應鏈的重大漏洞披露事件,，再次凸顯供應鏈安全風險日趨嚴峻的態(tài)勢,。

　　在物聯(lián)網(wǎng)設備上運行的許多第三方軟件一樣，ThroughTek協(xié)議被集成到設備制造商和經(jīng)銷商中,，因此很難辨別有多少設備可能受到該缺陷的影響,。