Критическая ошибка позволяет хакерам шпионить за вами

34
FTC предупреждает о вымогателях, нацеленных на ЛГБТК + сообщество в приложениях для знакомств

Исследователи безопасности бьют тревогу по поводу критической уязвимости, затрагивающей десятки миллионов устройств по всему миру, подключенных через облачную платформу Kalay IoT от ThroughTek.

Проблема безопасности затрагивает продукты различных производителей, предоставляющие решения для видеонаблюдения и видеонаблюдения, а также системы домашней автоматизации IoT, которые используют сеть Kalay для простого подключения и связи с соответствующим приложением.

Удаленный злоумышленник может использовать ошибку, чтобы получить доступ к живым аудио- и видеопотокам или взять под контроль уязвимое устройство.

Взлом подключений к устройствам

Исследователи из Red Team Mandiant обнаружили уязвимость в конце 2020 года и работали с Агентством кибербезопасности и безопасности инфраструктуры США и ThroughTek, чтобы координировать раскрытие информации и создавать варианты смягчения.

Отслеживаемая как CVE-2021-28372, проблема связана с уязвимостью, связанной с олицетворением устройства, которая получила оценку серьезности 9,6 из 10. Она влияет на протокол Kalay, который реализован в виде комплекта разработки программного обеспечения (SDK), встроенного в мобильные и настольные приложения. .

Джейк Валлетта, Эрик Барздукас и Диллон Франке из Mandiant изучили протокол Kalay от ThroughTek и обнаружили, что для регистрации устройства в сети Kalay требуется только уникальный идентификатор устройства (UID).

Следуя этому примеру, исследователи обнаружили, что клиент Kalay, например мобильное приложение, обычно получает UID из веб-API, размещенного поставщиком устройства IoT.

Злоумышленник с UID целевой системы может зарегистрировать в сети Kalay устройство, которое он контролирует, и получать все попытки подключения клиентов.

Это позволит им получить учетные данные для входа в систему, которые обеспечивают удаленный доступ к аудио-видео данным устройства жертвы.

Исследователи говорят, что этот тип доступа в сочетании с уязвимостями в интерфейсе RPC (удаленный вызов процедур), реализованном на устройстве, может привести к полной компрометации устройства.

«Mandiant заметил, что двоичные файлы на устройствах IoT, обрабатывающих данные Kalay, обычно запускались от имени привилегированного пользователя root и не имели общих двоичных средств защиты, таких как рандомизация адресного пространства (« ASLR »), независимое выполнение платформы (« PIE »), канарейки стека и NX. биты »- Mandiant

В ходе исследования этой уязвимости исследователи Mandiant смогли разработать функциональную реализацию протокола Kalay, которая позволила им обнаруживать устройства, регистрировать их, подключаться к удаленным клиентам, аутентифицировать и обрабатывать аудио- и видеоданные.

По последним данным ThroughTek, его платформа Kalay насчитывает более 83 миллионов активных устройств и ежемесячно управляет более чем 1 миллиардом подключений.

Варианты смягчения для разработчиков и владельцев

В сообщении по безопасности, опубликованном 20 июля для другой критической уязвимости в его SDK ( CVE-2021-32934 ) и обновленном 13 августа, ThroughTek предоставляет рекомендации, которым клиенты могут следовать, чтобы снизить риски, связанные с CVE-2021-28372:

  • При использовании ThroughTek SDK v3.1.10 и выше, пожалуйста, включите AuthKey и DTLS (Datagram Transport Layer Security) для защиты данных при передаче;
  • Если вы используете ThroughTek SDK более старых версий до v3.1.10, обновите библиотеку до v3.3.1.0 или v3.4.2.0 и включите AuthKey и DTLS.

Mandiant также рекомендует ознакомиться с элементами управления безопасностью, определенными для API или других сервисов, которые могут возвращать Kalay UID.

Исследователи отмечают, что злоумышленник, использующий уязвимость олицетворения устройства, должен быть осведомлен о протоколе Kalay и о том, как создаются и доставляются сообщения.

Получение UID также является задачей, требующей от злоумышленника определенных усилий (социальная инженерия, использование других уязвимостей).

Что могут сделать владельцы уязвимых устройств для снижения риска, так это поддерживать программное обеспечение и приложения на своих устройствах в актуальном состоянии до последней версии и определять сложные уникальные пароли для входа.

Кроме того, им следует избегать подключения к устройствам Интернета вещей из ненадежной сети (например, общедоступной сети Wi-Fi).

Поскольку платформа Kalay используется устройствами от большого количества производителей, сложно составить список затронутых брендов.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here