嚴重的安全漏洞威脅著世界各地數百萬個互聯物件。據 Wired 的同事稱,該漏洞允許存取即時視訊和音訊串流,甚至可以遠端完全控制設備。問題是,這個缺陷存在於超過 8,000 萬個連結物件使用的軟體開發工具包中。
我們的互聯物件經常成為各種威脅的目標。關於這個主題的故事並不缺乏,例如,甚至。然而,正如我們《連線》網站的同事所解釋的那樣,當前的威脅不容小視。
根據 Mandiant IT 安全研究人員的說法,超過 8,000 萬個連線物件中隱藏著一個漏洞世界各地。它涉及相機、數位錄音機、門鈴,甚至嬰兒監視器。正如他們所解釋的,這個缺陷是在軟體開發套件稱為 ThroughTek Kalay。
威脅數百萬互聯物件的缺陷
該套件由數百萬個連接物件使用,提供了一個即用型系統將智慧型裝置連接到相應的行動應用程式。換句話說,Kalay 平台充當裝置與其 Android 或 iOS 應用程式之間的網關。特別是,它管理身份驗證並雙向發送命令和資料。
Mandiant 研究總監 Jake Valleta 表示,這項缺陷使得「駭客隨意連接到設備,檢索音訊和視訊數據,並使用遠端 API 觸發韌體更新、更改攝影機角度或重新啟動設備。用戶並不知道出了什麼問題」。
Mandiant專家進行調查後確定:該缺陷存在於設備及其行動應用程式之間的註冊機制中。此基本連接基於 UID,這是 Kalay 提供的唯一識別碼。事實上,透過社會工程方法或透過洩露屬於製造商的資料設法獲取設備 UID 的攻擊者將能夠重新註冊子宮內避孕器並劫持連接下次嘗試合法存取目標裝置時。
另請閱讀:
已部署修復程序,但是...
從使用者的角度來看,在正常觸發設備之前,他只會注意到幾秒鐘的輕微減速。另一方面,攻擊者可以檢索特殊標識符,例如每個製造商確定的唯一的、隨機的使用者名稱和密碼。手上有這兩個數據,然後他就可以透過 Kalay 平台遠端控制設備。
目前,Mandiant 研究人員表示,沒有證據表明該缺陷被利用。 ThroughTek Kalay 本身已經發布了一個補丁。然而,許多製造商需要在各自的設備上部署此修補程式。這可能需要很長時間。
來源 :有線
詢問我們最新的!
微軟在雲端遊戲的進化上邁出了新的一步,受到了遊戲玩家的熱切期待。這家雷德蒙德巨頭剛剛啟動了 Beta 測試階段,允許玩家將遊戲直接串流到他們的…
Xbox
亞馬遜正在對其平台上的贊助評論採取強硬的態度。這家電子商務巨頭剛剛發起了一項針對發布產品評論的影響者的大規模驗證活動,該計劃是在…
訊息
微軟剛剛在已停止使用的 Windows 功能清單中新增了一個新條目。這次,它不是一個過時的功能,而是 2022 年 5 月引入的一個相對較新的功能:「建議操作」。與版本 25115 一起推出,...
視窗
Pixel 9a 將部分修正其前身的兩個缺點:續航力一般和充電速度太慢。其背面的設計也很引人注目。 10 月底,Android Headlines 揭露了 Pixel 的部分技術資料…
Google像素
Google正在推出 Gemini 2.0 Flash,這是 Gemini 2 系列的第一個下一代人工智慧模型,它將從現在開始徹底改變我們的數位使用,並為更雄心勃勃的專案奠定基礎。谷歌剛剛宣布...
應用領域
近年來,可折疊智慧型手機取得了長足的進步。儘管它們仍然是最昂貴的智慧型手機中的上層,但它們更可靠,價格也更便宜。如果你喜歡這個概念,這裡是…
智慧型手機購買指南
筆記型電腦是必不可少的日常工具。它們讓您可以在任何地方學習、工作和娛樂。面對顯示價格數百甚至數千歐元的行業巨頭,尋找一台筆記型電腦...
電腦購買指南
太陽系中行星的略微傾斜和偏心的軌道長期以來一直引起科學家的興趣。一項新的研究提出了一個令人著迷的理論:來自另一個恆星系統的巨大物體會破壞其最初的組織。太陽系...
訊息
亞馬遜讓您以超值優惠購買 Pixel 8 Pro。目前,與建議價格相比,Google智慧型手機可享近 50% 的即時折扣。點擊此處享受...
智慧型手機
亞馬遜公佈了將於 2024 年 12 月加入其串流媒體服務目錄的電影和連續劇清單。
亞馬遜 Prime 視頻