美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)本周警告,臺灣物聯網雲端服務平臺解決方案供應商物聯智慧(ThroughTek)所開發的P2P SDK,含有一個CVE-2021-32934漏洞,成功的開採將允許未經授權的第三方存取機密資料,例如監視器的聲音或影片。
成立於2008年的物聯智慧打造了Kalay雲端平臺,以協助物聯網(IoT)裝置製造商快速於市場上推出具備雲端功能的網路攝影機或其它IoT裝置,已登上臺灣的興櫃股票交易平臺。
圖片來源_物聯智慧
根據CISA的說明,物聯智慧藉由Kalay平臺替多家網路攝影機的製造商提供P2P的連線能力,但其P2P SDK含有一個漏洞,是以明文傳輸機密資訊,將允許未經許可的第三方存取這些機密資訊,影響了全球採用該P2P SDK的裝置。由於該漏洞可自遠端開採,且並不複雜,使得它的CVSS v3風險評分高達9.1。
物聯智慧則指出,最近發現有許多客戶的硬體產品並未正確採用SDK,或者未即時更新SDK,而帶來嚴重的安全漏洞,可能造成硬體裝置的合法身分被移植或盜用,或遭第三方盜用設備的認證權限,以及機密資料被盜用等。
事實上,物聯智慧早在2018年釋出的SDK 3.1.10中修補該漏洞,該公司強烈建議客戶查看產品中所採用的SDK版本,並儘快升級。此外,就算已更新至SDK 3.1.10或之後的版本,也應啟用AuthKey與DTLS。