DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lỗ hổng nghiêm trọng ảnh hưởng đến hàng triệu camera IoT
Các chuyên gia cảnh báo về một lỗ hổng chuỗi cung ứng IoT nghiêm trọng ảnh hưởng hàng triệu camera được kết nối trên toàn cầu, cho phép kẻ tấn công chiếm đoạt các video phát trực tuyến.
Theo nhà nghiên cứu Nozomi Networks, lỗ hổng nằm trong một thành phần của ThroughTek, phần mềm phổ biến mà các OEM sử dụng để sản xuất camera IP, camera giám sát trẻ em và thú cưng cũng như các thiết bị robot và pin.
Lỗi này được tìm thấy trong một SDK P2P do ThroughTek sản xuất. P2P đề cập chức năng cho phép khách hàng trên ứng dụng dành cho thiết bị di động hoặc máy tính để bàn truy cập các luồng âm thanh/video từ máy ảnh hoặc thiết bị thông qua internet.
Nozomi Networks cho biết, giao thức được sử dụng để truyền các luồng dữ liệu đó “thiếu sự trao đổi khóa an toàn. Nó hoàn toàn dựa vào phương pháp làm rối mã (obfuscation) dựa trên khóa cố định”.
Thiếu sót này cho phép kẻ tấn công trái phép truy cập chức năng P2P để tạo lại luồng âm thanh/video, theo dõi người dùng từ xa một cách hiệu quả.
CISA đã phát hành cảnh báo cho lỗ hổng trong ThroughTek P2P SDK, với điểm CVSS 9,1. Lỗi này ảnh hưởng đến phiên bản 3.1.5 trở xuống; cũng như các phiên bản SDK với thẻ nossl; và firmware của thiết bị không sử dụng AuthKey cho kết nối IOTC, sử dụng mô-đun AVAPI mà không bật DTLS hoặc sử dụng mô-đun P2PTunnel hoặc RDT.
Tuy nhiên, ThroughTek đổ lỗi cho các nhà phát triển đã triển khai sai SDK và không cập nhật phần mềm thay vì nhận lỗi về mình.
ThroughTek cho biết phiên bản 3.3 được phát hành vào giữa năm 2020 đã vá lỗ hổng này và kêu gọi khách hàng cập nhật.
Lỗi này cũng có thể dẫn đến việc nghe trộm trái phép video camera, âm thanh và giả mạo thiết bị cũng như chiếm đoạt chứng chỉ thiết bị.
Vụ việc này tiếp tục phơi bày những thách thức mà người dùng IoT phải đối mặt khi việc cập nhật phần mềm vẫn chậm chạp và quá phụ thuộc vào các thành phần của nhà phát triển bên thứ ba.
Theo nhà nghiên cứu Nozomi Networks, lỗ hổng nằm trong một thành phần của ThroughTek, phần mềm phổ biến mà các OEM sử dụng để sản xuất camera IP, camera giám sát trẻ em và thú cưng cũng như các thiết bị robot và pin.
Lỗi này được tìm thấy trong một SDK P2P do ThroughTek sản xuất. P2P đề cập chức năng cho phép khách hàng trên ứng dụng dành cho thiết bị di động hoặc máy tính để bàn truy cập các luồng âm thanh/video từ máy ảnh hoặc thiết bị thông qua internet.
Nozomi Networks cho biết, giao thức được sử dụng để truyền các luồng dữ liệu đó “thiếu sự trao đổi khóa an toàn. Nó hoàn toàn dựa vào phương pháp làm rối mã (obfuscation) dựa trên khóa cố định”.
Thiếu sót này cho phép kẻ tấn công trái phép truy cập chức năng P2P để tạo lại luồng âm thanh/video, theo dõi người dùng từ xa một cách hiệu quả.
CISA đã phát hành cảnh báo cho lỗ hổng trong ThroughTek P2P SDK, với điểm CVSS 9,1. Lỗi này ảnh hưởng đến phiên bản 3.1.5 trở xuống; cũng như các phiên bản SDK với thẻ nossl; và firmware của thiết bị không sử dụng AuthKey cho kết nối IOTC, sử dụng mô-đun AVAPI mà không bật DTLS hoặc sử dụng mô-đun P2PTunnel hoặc RDT.
Tuy nhiên, ThroughTek đổ lỗi cho các nhà phát triển đã triển khai sai SDK và không cập nhật phần mềm thay vì nhận lỗi về mình.
ThroughTek cho biết phiên bản 3.3 được phát hành vào giữa năm 2020 đã vá lỗ hổng này và kêu gọi khách hàng cập nhật.
Lỗi này cũng có thể dẫn đến việc nghe trộm trái phép video camera, âm thanh và giả mạo thiết bị cũng như chiếm đoạt chứng chỉ thiết bị.
Vụ việc này tiếp tục phơi bày những thách thức mà người dùng IoT phải đối mặt khi việc cập nhật phần mềm vẫn chậm chạp và quá phụ thuộc vào các thành phần của nhà phát triển bên thứ ba.
Theo: infosecurity
Chỉnh sửa lần cuối bởi người điều hành: