Varför är det viktigt: Ett säkerhetsproblem som påverkar en mjukvaruplattform som ansluter miljontals Internet of Things (IoT) -enheter, inklusive babyvakter och säkerhetskameror, offentliggjordes idag. Även om en firmware -uppdatering åtgärdade denna sårbarhet 2018, är det inte klart om alla företag som säljer de berörda produkterna har implementerat den. Än så länge finns det inga bevis på att någon faktiskt har utnyttjat utnyttjandet i en attack.
Säkerhetsföretaget Mandiants forskare hittade utnyttjandet, vilket påverkar säkerheten i Yetteks Kalay -plattform, i slutet av förra året. Företaget beslutade att offentliggöra det idag i samarbete med Department of Homeland Securitys Cybersecurity and Infrastructure Security Agency.
Kalay -plattformen är ett SDK som låter företag som gör Internet of Things (IoT) -enheter ansluta till mobilappar samtidigt som anslutningarna hålls säkra. Det är det som gör att någon kan styra sin hemmakamera eller babyvakt med en smartphone -app.
“Du bygger Kalay i, och det är limmet och funktionaliteten som dessa smarta enheter behöver”, säger Mandiant -direktören Jake Valletta. “En angripare kan ansluta till en enhet efter behag, hämta ljud och video och använda fjärr -API: t för att sedan göra saker som att utlösa en firmware -uppdatering, ändra panoreringvinkel på en kamera eller starta om enheten. Och användaren gör inte det vet att något är fel. “
Anta att en angripare lär sig en specifik enhets ID i Kalay -plattformen genom social engineering eller letar upp enhetens tillverkare. I så fall kan de skaffa det användarnamn och lösenord som tillverkaren ställde in för enheten och sedan kapa det och till och med använda det för att ansluta till andra enheter i en användares nätverk. De kan få fullständig kontroll över en kamera, stänga av den eller installera skadlig kod på den och andra anslutna enheter. Vid den första attacken skulle användaren bara kortvarigt uppleva en liten anslutningsfördröjning. Om användaren återställer sin utrustning helt kan angriparen bara starta om exploateringen med tillverkarens säkerhetsuppgifter.
Thoughtek noterar 3.1.10 -versionen av dess SDK, som kom ut 2018, lappade sårbarheten. Det är dock inte upp till slutanvändare att använda dessa uppdateringar direkt, utan snarare IoT-tillverkare och företag som köper enheter från dessa tillverkare.
I takt med att Internet of Things fortsätter att växa kan vi förvänta oss att forskare avslöjar fler sårbarheter som dessa. För två månader sedan hittade säkerhetsanalytiker ytterligare en exploatering i Kalays SDK som påverkar version 3.1.5 och tidigare. I april upptäckte forskare nio sårbarheter i TCP/IP -staplarna med hundratals miljoner IoT -enheter.