8 月 19 日消息,本周二,美国联邦网络安全和基础设施安全局(CISA)公布了一个影响数以千万计的物联网设备的严重漏洞,攻击者不仅能够通过该漏洞看到安全网络摄像头等设备拍摄的实时视频,还能利用该漏洞控制这些设备。
美国网络安全公司 Mandiant 在 2020 年末发现了这一漏洞。该公司称,这一漏洞影响了超过 8300 万台网络设备,不过他们无法确定受到漏洞影响的产品和公司的完整名单。
一、SDK 出漏洞,8300 万台智能设备受影响
一个漏洞潜伏在包括网络摄像头等多种智能设备中,可能会使攻击者通过互联网访问其实时视频和音频流,甚至远程获得该设备的完全控制权。更糟糕的是,这个漏洞不仅限于单个制造商,它出现在一个软件开发工具包(SDK)中,这个工具包渗透到超过 8300 万台设备之中,每个月都产生超十亿次互联网连接。
有问题的 SDK 是 ThroughTek Kalay,它提供了一个即插即用的系统,用于将智能设备与其相应的移动应用程序连接起来。Kalay 平台为智能设备和其相应的应用程序提供代理,可以处理身份验证,并来回发送数据和命令。
▲ Kalay 工作原理示意图
美国网络安全公司 Mandiant 的研究人员在 2020 年底发现了这个漏洞,并于本周二与 CISA 一起公开披露了这个漏洞。
Mandiant 的主管 Jake Valletta 说:“Kalay 为这些智能设备提供必要的连接和相应的功能,然而攻击者可以随意连接到这些设备,检索音频和视频,然后使用远程 API 执行注入触发固件更新、更改相机角度或重启设备等操作,并且用户还不会知道发生了什么问题。”
二、攻击者可获取用户账号密码,用户无法重置设备摆脱入侵
该漏洞存在于设备与其移动应用程序之间的注册程序中。研究人员发现,这种设备与应用程序的连接取决于每个设备的 UID,这是一个唯一的 Kalay 标识符。据 Valletta 所说,攻击者可以很容易的从制造商的其他网络漏洞中获取到这些 UID。
拥有设备 UID 并对 Kalay 协议有所了解的攻击者可以重新注册设备的 UID 以覆盖 Kalay 服务器上现有的设备。当设备的拥有者尝试重新将设备连接到网络时,攻击者就可以劫持并获取该设备的账号与密码。
这个过程中,用户可能会经历几秒钟的延迟,但是从他们的角度来看,一切都在正常运行。但是,掌握了 UID 和账号密码的攻击者可以通过 Kalay 远程控制这些设备,还能以这些被侵入的设备为起点,更加深入目标网络。
▲ 攻击者入侵原理示意图
利用该漏洞,攻击者可以实时观看网络设备拍摄到的视频,还可以在目标设备上安装恶意固件。此外,由于攻击是通过获取凭据,然后通过 Kalay 远程管理设备进行的,因此设备的所有者无法通过重置设备或擦除数据来摆脱入侵者,因为攻击者很容易再次发起攻击并重新控制。
“受到影响的设备可能会受到不当的访问控制,此漏洞可允许攻击者访问敏感信息或执行远程代码。CISA 建议用户采取防御措施,以最大限度地降低此漏洞带来的风险。”CISA 在周二的公告中写道。
三、更新固件能避免攻击,三年过去仍有大量设备未更新
然而,与许多物联网安全漏洞一样,确认了漏洞存在的位置并不等于修复了漏洞。Kalay 的提供商 ThroughTek 只是需要参与解决这一漏洞的众多相关方之一。
智能设备的白牌制造商在他们的产品中加入 Kalay,然后产品会被别的公司买走,贴上特定的品牌出售。这意味着即使 ThroughTek 提供了修复该漏洞的方法,也很难确切地知道有多少公司依赖 Kalay,并需要修复这个漏洞。
Mandiant 的研究者没有发布他们对于 Kalay 协议的分析或利用该漏洞的细节,他们说他们的目标是在不向潜在的攻击者提供思路的情况下提高人们对这一问题严重性的认识。
ThroughTek 和 Mandiant 称,要堵住这一漏洞,厂商必须开启两个可选的 Kalay 功能:加密通信协议 DTLS 和 API 身份验证机制 AuthKey。
“我们已经从 Mandiant 那里得知了这个漏洞,并且已通知使用旧 SDK 的客户更新其设备固件。”ThroughTek 的产品安全事件响应团队成员 Yi-Ching Chen 说。
不过,与 Mandiant 的发现一致,他们很难让客户集体更新。尽管 ThroughTek 在三年前就已经发布了能够一定程度上避免这种攻击的 SDK 版本,但是现在仍然存在大量易受攻击的设备。
“在过去的三年里,我们一直在通知我们的客户升级他们的设备,但是一些旧设备缺乏空中下载技术(OTA)功能,这使得他们无法进行升级。此外,我们有些客户不想启用 DTLS,因为这会减慢建立连接的速度,因此他们对升级犹豫不决。”Yi-Ching Chen 补充道。
Jake Valletta 称,这次的公开的披露这个漏洞就是希望能够让客户认识到这一漏洞的严重性,并让大型制造商在其产品中更新 Kalay。但是实际上小公司制造的设备可能永远无法修复这些漏洞,因为他们在安全方面没有大量的资金和设备投入,或者他们仅仅是从白牌产品供应商哪里购买完整的产品然后打上自己的品牌名称。
结语:网络信息安全要得到更多重视
近些年来,随着互联网技术的迅速发展,各类智能设备得到迅速的普及。但是信息泄露问题一直在伴随着这一过程。家用网络摄像头被破解,个人隐私遭泄露的事件时有发生。
现在不论是国家层面立法保护公民的个人信息安全,还是各智能设备厂商自发的加码用户的隐私保护,都说明个人的信息安全正在得到越来越多的重视。
家用的智能设备尤其是网络摄像头作为一个私密性较强的设备,如果被入侵,对于设备的拥有者来说后果是较为严重的。因此,相关监管机构以及设备的生产商、经销商等相关角色对此类信息安全更应加倍重视。