ThroughTek“Kalay”是一个基于云计算的网络通信平台，约8300万台物联网(IoT)设备使用该平台。该网络平台的供应链漏洞可能允许远程泄露和控制，包括监控音频、视频和暴露密码。

好消息是，这次攻击是假想的，是安全研究人员在2020年底发现的。坏消息是，现在它已经出现了这种情况。

曼迪昂特的红队(Red Team)在2020年底发现了Kalay供应链的漏洞，不过在上周公开披露之前一直处于保密状态。由于使用该平台的设备数量庞大，而且攻击者可能拥有全部访问权限，因此该漏洞引发的问题极其严重。一旦被渗透，攻击者就可以通过智能婴儿监视器查看摄像头画面并监听位置。他们也可以远程控制各种设备，但很难准确估计他们能造成多大破坏。这是因为据ThroughTek估计，它每个月大约有11亿个活跃连接，但没有详细的记录哪些设备在使用它。

ThroughTek这个名字可能听起来很熟悉，因为就在三个月前，野宗网络(Nozomi Networks)的安全研究人员发现了另一个供应链漏洞，该漏洞也涉及到ThroughTek。虽然该系统也可能允许访问摄像头，但是仅限于闭路电视摄像机产品，不允许直接访问设备控制。

一个好消息是，黑客需要得到目标设备唯一的标识符(UID)，如果不能通过某种手段将目标设备的UID暴露出来或利用漏洞访问目标设备，在通常情况下是很难获得的。曼迪昂特还表示，攻击者需要“全面”了解“Kalay”协议，以编制攻击所需要的信息。尽管如此，Mandiant建议公司更新SDK，启用Kalay的特定安全功能，以消除供应链漏洞破坏的可能性。

这种特殊的供应链漏洞与“SIM交换”攻击大致相当，后者允许黑客在不访问设备的情况下远程获取电话号码。攻击者可以在Kalay网络平台上注册物联网设备uid，覆盖之前的注册，并将任何未来的设备通信定向到攻击者。

供应链漏洞、物联网设备安全漏洞仍然普遍存在

自“智能设备”上市以来，物联网设备的安全问题是长期存的。

ThroughTek在摄像头和婴儿监视器方面的两个不同的问题，甚至不是今年此类供应链的第一个主要漏洞。今年2月，大约11万个使用实时流媒体协议(RTSP)系统的摄像机系统被暴露在互联网上，任何人都可以轻松地观看直播流媒体。

然而，这种特殊的供应链引入了一些新元素。通常情况下物联网设备的安全性普遍较差，但这个漏洞存在于连接它们与移动应用程序的SDK中。虽然单个被破坏的物联网设备会阻挠攻击者在网络中的下一步行动，但如果他们能够在过程中破坏应用，破坏的速度就会大大增加。这里的另一个问题是，许多物联网设备可能缺乏推出更新版本的OTA(Online Travel Agency)功能。

近年来，企业和家庭在生活的各个方面都在增加物联网设备的使用，5G的不断推出预计将把更多的智能设备带到世界的每个角落。Jumio首席执行官罗伯特·普里格(Robert Prigge)认为，采用生物识别安全技术是近期最现实的解决方案:“尽管这个漏洞对任何与Kalay平台相连的智能设备都是有害的，但是最令人担忧的是，婴儿监控喂养也涉及其中。通过网络钓鱼等简单的手段，黑客就可以提取物联网设备的标识符，并获得其唯一凭据。犯罪分子可以完全远程控制该设备来观看实时视频，安装恶意软件或下载视频片段，并利用它来达到恶意目的。（本文出自SCA安全通信联盟，转载请注明出处。）