導讀:美國網絡安全公司 Mandiant 在 2020 年末發(fā)現了這一漏洞。
本周二,美國聯邦網絡安全和基礎設施安全局 (CISA) 公布了一個影響數以千萬計的物聯網設備的嚴重漏洞,攻擊者不僅能夠通過該漏洞看到安全網絡攝像頭等設備拍攝的實時視頻,還能利用該漏洞控制這些設備。
美國網絡安全公司 Mandiant 在 2020 年末發(fā)現了這一漏洞。該公司稱,這一漏洞影響了超過 8300 萬臺網絡設備,不過他們無法確定受到漏洞影響的產品和公司的完整名單。
一、SDK 出漏洞 ,8300 萬臺智能設備受影響
一個漏洞潛伏在包括網絡攝像頭等多種智能設備中,可能會使攻擊者通過互聯網訪問其實時視頻和音頻流,甚至遠程獲得該設備的完全控制權。更糟糕的是,這個漏洞不僅限于單個制造商,它出現在一個軟件開發(fā)工具包 (SDK) 中,這個工具包滲透到超過 8300 萬臺設備之中,每個月都產生超十億次互聯網連接。
有問題的 SDK 是 ThroughTek Kalay, 它提供了一個即插即用的系統,用于將智能設備與其相應的移動應用程序連接起來 。Kalay 平臺為智能設備和其相應的應用程序提供代理,可以處理身份驗證,并來回發(fā)送數據和命令。
▲ Kalay 工作原理示意圖
美國網絡安全公司 Mandiant 的研究人員在 2020 年底發(fā)現了這個漏洞,并于本周二與 CISA 一起公開披露了這個漏洞。
Mandiant 的主管 Jake Valletta 說 :“Kalay 為這些智能設備提供必要的連接和相應的功能,然而攻擊者可以隨意連接到這些設備,檢索音頻和視頻,然后使用遠程 API 執(zhí)行注入觸發(fā)固件更新、更改相機角度或重啟設備等操作,并且用戶還不會知道發(fā)生了什么問題?!?/p>
二、攻擊者可獲取用戶賬號密碼,用戶無法重置設備擺脫入侵
該漏洞存在于設備與其移動應用程序之間的注冊程序中。研究人員發(fā)現,這種設備與應用程序的連接取決于每個設備的 UID, 這是一個唯一的 Kalay 標識符。據 Valletta 所說,攻擊者可以很容易的從制造商的其他網絡漏洞中獲取到這些 UID。
擁有設備 UID 并對 Kalay 協議有所了解的攻擊者可以重新注冊設備的 UID 以覆蓋 Kalay 服務器上現有的設備。當設備的擁有者嘗試重新將設備連接到網絡時,攻擊者就可以劫持并獲取該設備的賬號與密碼。
這個過程中,用戶可能會經歷幾秒鐘的延遲,但是從他們的角度來看,一切都在正常運行。但是,掌握了 UID 和賬號密碼的攻擊者可以通過 Kalay 遠程控制這些設備,還能以這些被侵入的設備為起點,更加深入目標網絡。
▲攻擊者入侵原理示意圖
利用該漏洞,攻擊者可以實時觀看網絡設備拍攝到的視頻,還可以在目標設備上安裝惡意固件。此外,由于攻擊是通過獲取憑據,然后通過 Kalay 遠程管理設備進行的,因此設備的所有者無法通過重置設備或擦除數據來擺脫入侵者,因為攻擊者很容易再次發(fā)起攻擊并重新控制。
“受到影響的設備可能會受到不當的訪問控制,此漏洞可允許攻擊者訪問敏感信息或執(zhí)行遠程代碼 。CISA 建議用戶采取防御措施,以最大限度地降低此漏洞帶來的風險 ?!盋ISA 在周二的公告中寫道。
三、更新固件能避免攻擊,三年過去仍有大量設備未更新
然而,與許多物聯網安全漏洞一樣,確認了漏洞存在的位置并不等于修復了漏洞 。Kalay 的提供商 ThroughTek 只是需要參與解決這一漏洞的眾多相關方之一。
智能設備的白牌制造商在他們的產品中加入 Kalay, 然后產品會被別的公司買走,貼上特定的品牌出售。這意味著即使 ThroughTek 提供了修復該漏洞的方法,也很難確切地知道有多少公司依賴 Kalay, 并需要修復這個漏洞。
Mandiant 的研究者沒有發(fā)布他們對于 Kalay 協議的分析或利用該漏洞的細節(jié),他們說他們的目標是在不向潛在的攻擊者提供思路的情況下提高人們對這一問題嚴重性的認識。
ThroughTek 和 Mandiant 稱,要堵住這一漏洞,廠商必須開啟兩個可選的 Kalay 功能:加密通信協議 DTLS 和 API 身份驗證機制 AuthKey。
“我們已經從 Mandiant 那里得知了這個漏洞,并且已通知使用舊 SDK 的客戶更新其設備固件 ?!盩hroughTek 的產品安全事件響應團隊成員 Yi-Ching Chen 說。
不過,與 Mandiant 的發(fā)現一致,他們很難讓客戶集體更新。盡管 ThroughTek 在三年前就已經發(fā)布了能夠一定程度上避免這種攻擊的 SDK 版本,但是現在仍然存在大量易受攻擊的設備。
“在過去的三年里,我們一直在通知我們的客戶升級他們的設備,但是一些舊設備缺乏空中下載技術 (OTA) 功能,這使得他們無法進行升級。此外,我們有些客戶不想啟用 DTLS, 因為這會減慢建立連接的速度,因此他們對升級猶豫不決 。”Yi-Ching Chen 補充道。
Jake Valletta 稱,這次的公開的披露這個漏洞就是希望能夠讓客戶認識到這一漏洞的嚴重性,并讓大型制造商在其產品中更新 Kalay。 但是實際上小公司制造的設備可能永遠無法修復這些漏洞,因為他們在安全方面沒有大量的資金和設備投入,或者他們僅僅是從白牌產品供應商哪里購買完整的產品然后打上自己的品牌名稱。
結語:網絡信息安全要得到更多重視
近些年來,隨著互聯網技術的迅速發(fā)展,各類智能設備得到迅速的普及。但是信息泄露問題一直在伴隨著這一過程。家用網絡攝像頭被破解,個人隱私遭泄露的事件時有發(fā)生。
現在不論是國家層面立法保護公民的個人信息安全,還是各智能設備廠商自發(fā)的加碼用戶的隱私保護,都說明個人的信息安全正在得到越來越多的重視。
家用的智能設備尤其是網絡攝像頭作為一個私密性較強的設備,如果被入侵,對于設備的擁有者來說后果是較為嚴重的。因此,相關監(jiān)管機構以及設備的生產商、經銷商等相關角色對此類信息安全更應加倍重視。