Mandianat公司的研究人員當地時間周二表示，數百萬智能家居設備使用的軟件存在漏洞，此漏洞已被分配CVSS3.1基礎分數為9.6，并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會竊取嬰兒監視器和網絡攝像頭等設備上的音頻和視頻數據。該漏洞存在于臺灣物聯網（IoT）供應商ThroughTek開發的一個軟件協議中，該公司的客戶包括中國電子巨頭小米。ThroughTek說，相機供應商Wyze等其他品牌生產的8,300萬臺設備運行該公司的軟件。Mandiant表示，要利用這一漏洞，攻擊者需要對軟件協議有“全面的了解”，并獲取目標設備使用的唯一標識符。有了這種權限，黑客就可以遠程與設備進行通信，可能會導致后續的嚴重后果。糟糕的是，這并不局限于某個制造商。它出現在一個軟件開發工具包中，滲透到8300多萬臺設備中，每個月有超過10億的互聯網連接。國土安全部下屬CISA計劃發布一項公眾建議，以提高人們對安全問題的認識。

　　涉事廠家反應

　　所涉及的SDK是ThroughTek Kalay，它提供一種即插即用的系統，用于將智能設備與相應的移動應用程序連接起來。Kalay平臺代理設備及其應用程序之間的連接，處理身份驗證，并來回發送命令和數據。例如，Kalay提供了內置功能，可以協調安全攝像頭和可以遠程控制攝像頭角度的應用程序。安全公司Mandiant的研究人員在2020年底發現了這一嚴重漏洞，他們于8月17日與國土安全部的網絡安全和基礎設施安全局（Cybersecurity and Infrastructure security Agency）一起公開披露了這一漏洞。

　　ThroughTek產品安全事件響應小組（Product Security Incident Response Team）的員工陳怡清（Yi-Ching Chen，音）說，該公司已經通知客戶該漏洞，并建議他們如何將由此引發的安全風險降至最低。

　　“我們認真考慮網絡安全問題，并在開發產品時采取了安全措施，”陳怡清在一封電子郵件中說。“我們有一個專門的軟件測試團隊，以確保我們的軟件具有很高的質量和安全性，并定期進行滲透測試。”

　　ThroughTek沒有回復《連線》雜志的置評請求。今年6月，該公司發布了Kalay 3.1.10版本的漏洞修復程序。

　　網絡安全公司反應

　　曼迪昂特（Mandiant）的董事杰克？瓦萊塔（Jake Valletta）表示，你把Kalay植入其中，它就是這些智能設備所需的粘合劑和功能。“”攻擊者可以隨意連接到設備，獲取音頻和視頻，并使用遠程API，然后做一些事情，如觸發固件更新，改變相機的平移角度，或重啟設備。而用戶卻不知道哪里出了問題。“

　　缺陷在于設備與其移動應用程序之間的注冊機制。研究人員發現，這種最基本的連接取決于每個設備的”UID“，一個獨特的Kalay標識符。攻擊者一旦掌握了設備的UID（瓦萊塔稱可以通過社會工程攻擊獲得），或者通過搜索特定制造商的web漏洞——并且對Kalay協議有所了解的人可以重新注冊UID，并在下一次有人試圖合法訪問目標設備時劫持連接。用戶將會經歷幾秒鐘的延遲，但是從他們的角度來看，一切都會正常進行。

　　不過，攻擊者可以獲取每個制造商為其設備設置的特殊憑證——通常是一個隨機的、唯一的用戶名和口令。有了UID加上這個登錄憑證，攻擊者就可以通過Kalay遠程控制設備，而不需要任何其他條件。攻擊者還可能利用對IP攝像頭等嵌入式設備的完全控制作為起點，深入滲透目標的網絡。

　　通過利用該漏洞，攻擊者可以實時觀看視頻，可能會觀看敏感的安全視頻，或偷看嬰兒床內部。他們可以通過關閉攝像頭或其他設備來發起拒絕服務攻擊。或者他們可以在目標設備上安裝惡意固件。此外，由于攻擊的工作原理是獲取憑證，然后使用Kalay遠程管理嵌入式設備，因此受害者無法通過清除或重置他們的設備來獵殺入侵者。黑客們可以簡單地反復發動攻擊。

　　研究人員沒有公布Kalay協議分析的細節，也沒有公布如何利用該漏洞的細節。他們說，他們還沒有看到現實世界中利用漏洞的證據，他們的目標是提高人們對這個問題的認識，而不是給真正的攻擊者一個路線圖。Mandiant的研究人員建議制造商升級到這個版本或更高版本，并啟用兩種Kalay產品：加密通信協議DTLS和API認證機制AuthKey。

　　瓦萊塔說：”我認為隧道盡頭有光明，但我不確定是否每個人都要修補。“”我們已經這樣做了多年，一次又一次地看到許多模式和各種漏洞。物聯網安全仍有很多方面需要迎頭趕上。“

　　Mandiant建議用戶升級他們的軟件，并采取額外措施，以降低漏洞被利用的風險。具體為建議確保物聯網設備制造商對用于獲取Kalay uid、用戶名和口令的web API實施嚴格控制，以減少攻擊者獲取遠程訪問設備所需的敏感信息的能力。無法保護返回有效Kalay uid的web API可能會讓攻擊者危及大量設備。

　　物聯網供應連安全路漫漫

　　物聯網行業的安全問題由來已久，單個漏洞往往會影響多個供應商。”許多消費者相信，他們放在家里的設備在默認情況下是安全的，“曼迪昂特主動服務總監杰克·瓦萊塔（Jake Valletta）說。”然而，我們的研究一再表明，安全不是那些實施物聯網設備和協議的優先事項。“

　　這是數字時代物聯網設備漏洞爆發的最新例子。

　　2021年4月，智能電視和可穿戴設備等設備的軟件中還發現了24個漏洞。

　　2021年06月15日，CISA發布預警，數以百萬計的聯網安全和家用攝像頭包含一個信息泄露漏洞（CVE-2021-32934），其CVSS v3基本評分為9.1。該漏洞存在于ThroughTek的P2P SDK中。由于本地設備和ThroughTek 服務器之間明文傳輸數據，遠程攻擊者可以通過利用此漏洞竊取敏感信息。時隔2月，同樣的廠商再現重磅漏洞。

　　2021年8月16日，固件安全公司IoT-Inspector爆出Realtek SDK的十多個漏洞——從命令注入到影響UPnP、HTTP（管理web界面）和Realtek定制網絡服務的內存損壞。通過利用這些漏洞，遠程未經身份驗證的攻擊者可以完全破壞目標設備，并以最高權限執行任意代碼。最終研究人員確定了至少65個不同的供應商受這批漏洞影響，近200個型號的設備在影響之列。

　　這一系列物聯網軟件供應鏈的重大漏洞披露事件，再次凸顯供應鏈安全風險日趨嚴峻的態勢。

　　在物聯網設備上運行的許多第三方軟件一樣，ThroughTek協議被集成到設備制造商和經銷商中，因此很難辨別有多少設備可能受到該缺陷的影響。