English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
云连接平台中的供应链漏洞威胁到 8300 万物联网设备
文章来源:奥航智讯  作者:网喵  发布时间:2021-08-27  浏览次数:767



ThroughTek“Kalay”是一个基于云计算的网络通信平台,约8300万台物联网(IoT)设备使用该平台。该网络平台的供应链漏洞可能允许远程泄露和控制,包括监控音频、视频和暴露密码。


好消息是,这次攻击是假想的,是安全研究人员在2020年底发现的。坏消息是,现在它已经出现了这种情况。


曼迪昂特的红队(Red Team)在2020年底发现了Kalay供应链的漏洞,不过在上周公开披露之前一直处于保密状态。由于使用该平台的设备数量庞大,而且攻击者可能拥有全部访问权限,因此该漏洞引发的问题极其严重。一旦被渗透,攻击者就可以通过智能婴儿监视器查看摄像头画面并监听位置。他们也可以远程控制各种设备,但很难准确估计他们能造成多大破坏。这是因为据ThroughTek估计,它每个月大约有11亿个活跃连接,但没有详细的记录哪些设备在使用它。


ThroughTek这个名字可能听起来很熟悉,因为就在三个月前,野宗网络(Nozomi Networks)的安全研究人员发现了另一个供应链漏洞,该漏洞也涉及到ThroughTek。虽然该系统也可能允许访问摄像头,但是仅限于闭路电视摄像机产品,不允许直接访问设备控制。


一个好消息是,黑客需要得到目标设备唯一的标识符(UID),如果不能通过某种手段将目标设备UID暴露出来或利用漏洞访问目标设备,在通常情况下是很难获得的。曼迪昂特还表示,攻击者需要“全面”了解“Kalay”协议,以编制攻击所需要的信息。尽管如此,Mandiant建议公司更新SDK,启用Kalay的特定安全功能,以消除供应链漏洞破坏的可能性。


这种特殊的供应链漏洞与“SIM交换”攻击大致相当,后者允许黑客在不访问设备的情况下远程获取电话号码。攻击者可以在Kalay网络平台上注册物联网设备uid,覆盖之前的注册,并将任何未来的设备通信定向到攻击者。


供应链漏洞、物联网设备安全漏洞仍然普遍存在


自“智能设备”上市以来,物联网设备的安全问题是长期存的


ThroughTek在摄像头和婴儿监视器方面的两个不同的问题,甚至不是今年此类供应链的第一个主要漏洞。今年2月,大约11万个使用实时流媒体协议(RTSP)系统的摄像机系统被暴露在互联网上,任何人都可以轻松地观看直播流媒体。


然而,这种特殊的供应链引入了一些新元素。通常情况下物联网设备的安全性普遍较差,但这个漏洞存在于连接它们与移动应用程序的SDK中。虽然单个被破坏的物联网设备会阻挠攻击者在网络中的下一步行动,但如果他们能够在过程中破坏应用,破坏的速度就会大大增加。这里的另一个问题是,许多物联网设备可能缺乏推出更新版本的OTA(Online Travel Agency)功能。


近年来,企业和家庭在生活的各个方面都在增加物联网设备的使用,5G的不断推出预计将把更多的智能设备带到世界的每个角落。Jumio首席执行官罗伯特·普里格(Robert Prigge)认为,采用生物识别安全技术是近期最现实的解决方案:“尽管这个漏洞对任何与Kalay平台相连的智能设备都是有害的,但是最令人担忧的是,婴儿监控喂养也涉及其中。通过网络钓鱼等简单的手段,黑客就可以提取物联网设备的标识符,并获得其唯一凭据。犯罪分子可以完全远程控制该设备来观看实时视频,安装恶意软件或下载视频片段,并利用它来达到恶意目的。(本文出自SCA安全通信联盟,转载请注明出处。



 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司