美国国土安全部旗下的网络安全暨基础架构安全局(CISA)本周警告,台湾物联网云计算服务平台解决方案供应商物联智能(ThroughTek)所开发的P2P SDK,含有一个CVE-2021-32934漏洞,成功的开采将允许未经授权的第三方访问机密资料,例如监视器的声音或视频。
成立于2008年的物联智能打造了Kalay云计算平台,以协助物联网(IoT)设备制造商快速于市场上推出具备云计算功能的网络摄影机或其它IoT设备,已登上台湾的兴柜股票交易平台。
图片来源_物联智能
根据CISA的说明,物联智能借由Kalay平台替多家网络摄影机的制造商提供P2P的连接能力,但其P2P SDK含有一个漏洞,是以明文传输机密信息,将允许未经许可的第三方访问这些机密信息,影响了全球采用该P2P SDK的设备。由于该漏洞可自远程开采,且并不复杂,使得它的CVSS v3风险评分高达9.1。
物联智能则指出,最近发现有许多客户的硬件产品并未正确采用SDK,或者未即时更新SDK,而带来严重的安全漏洞,可能造成硬件设备的合法身份被移植或盗用,或遭第三方盗用设备的认证权限,以及机密资料被盗用等。
事实上,物联智能早在2018年发布的SDK 3.1.10中修补该漏洞,该公司强烈建议客户查看产品中所采用的SDK版本,并尽快升级。此外,就算已更新至SDK 3.1.10或之后的版本,也应激活AuthKey与DTLS。