严重的安全漏洞威胁着世界各地数百万个互联对象。据 Wired 的同事称,该漏洞允许访问实时视频和音频流,甚至可以远程完全控制设备。问题是,这个缺陷存在于超过 8000 万个连接对象使用的软件开发工具包中。
我们的互联对象经常成为各种威胁的目标。关于这个主题的故事并不缺乏,比如这些性玩具充满安全漏洞,甚至这些便宜的联网门铃特别容易被破解。然而,正如我们《连线》网站的同事所解释的那样,当前的威胁不容小视。
根据 Mandiant IT 安全研究人员的说法,超过 8000 万个连接对象中隐藏着一个漏洞世界各地。它涉及相机、数字录音机、门铃,甚至婴儿监视器。正如他们所解释的,这个缺陷是在软件开发套件称为 ThroughTek Kalay。
威胁数百万互联对象的缺陷
该套件由数百万个连接对象使用,提供了一个即用型系统将智能设备连接到相应的移动应用程序。换句话说,Kalay 平台充当设备与其 Android 或 iOS 应用程序之间的网关。特别是,它管理身份验证并双向发送命令和数据。
Mandiant 研究总监 Jake Valleta 表示,这一缺陷使得“黑客随意连接到设备,检索音频和视频数据,并使用远程 API 触发固件更新、更改摄像头角度或重新启动设备。用户并不知道出了什么问题”。
Mandiant专家进行调查后确定:该缺陷存在于设备及其移动应用程序之间的注册机制中。此基本连接基于 UID,这是 Kalay 提供的唯一标识符。事实上,通过社会工程方法或通过泄露属于制造商的数据设法获取设备 UID 的攻击者将能够重新注册宫内节育器并劫持连接下次尝试合法访问目标设备时。
已部署修复程序,但是...
从用户的角度来看,在正常触发设备之前,他只会注意到几秒钟的轻微减速。另一方面,攻击者可以检索特殊标识符,例如每个制造商确定的唯一的、随机的用户名和密码。手里有这两个数据,然后他就可以通过 Kalay 平台远程控制设备。
目前,Mandiant 研究人员表示,没有证据表明该缺陷被利用。 ThroughTek Kalay 本身已经发布了一个补丁。然而,许多制造商需要在各自的设备上部署此补丁。这可能需要很长时间。
来源 :有线
询问我们最新的!
太阳系中行星的略微倾斜和偏心的轨道长期以来一直引起科学家的兴趣。一项新的研究提出了一个令人着迷的理论:来自另一个恒星系统的巨大物体会破坏其最初的组织。太阳系...
消息
