Sicherheitslücke bedroht Millionen IoT-Geräte

18. August 2021, 11:16
image

Die betroffene Kalay-Plattform wird in Überwachungskameras, digitalen Videorekordern und Babyphones verwendet. Angreifer können diese direkt kontrollieren.

Sicherheitsforscher von Mandiant haben eine Sicherheitslücke entdeckt, die Millionen von IoT-Geräten betrifft. Angreifer könnten direkt über das Internet die volle Kontrolle über diese Geräte übernehmen. Die Lücke wurde in der Software-Kernkomponente der Kalay-Cloud-Plattform des taiwanischen Unternehmens Throughtek entdeckt, die von Fabrikanten unter anderem bei der Herstellung von IP-Kameras, Babyphones, Haustierüberwachungskameras und Geräten zur Videoaufzeichnung verwendet wird.
Die Schwachstelle "CVE-2021-28372" (CVSS-Score 9,6/10) liegt im P2P-SDK des Unternehmens vor, einer Funktion, die es einem Client auf einem Desktop oder einer mobilen App ermöglicht, über das Internet auf die Audio- oder Videostreams der Kamera zuzugreifen.
Ein Angreifer, der über die eindeutige Kennung (UID) eines Zielsystems verfügt, könnte im Kalay-Netzwerk ein von ihm kontrolliertes Gerät registrieren und alle Verbindungsversuche des Clients empfangen. So könnten Anmeldeinformationen erhalten werden, die den Fernzugriff auf die Audio- und Video-Daten des Opfergeräts ermöglichen.
"Man baut Kalay ein, und es ist der Klebstoff und die Funktionalität, die diese intelligenten Geräte benötigen", erklärt Jake Valletta, Director of Professional Service bei Mandiant. "Ein Angreifer könnte sich nach Belieben mit einem Gerät verbinden, Audio und Video abrufen und die Remote-API verwenden, um dann beispielsweise ein Firmware-Update auszulösen, den Schwenkwinkel einer Kamera zu ändern oder das Gerät neu zu starten. Und der Benutzer weiss nicht, dass etwas nicht stimmt."
In einem Blogbeitrag zur Schwachstelle schreibt Mandiant: "Aktuell wirbt Throughtek mit mehr als 83 Millionen aktiven Geräten und über 1,1 Milliarden monatlichen Verbindungen auf ihrer Plattform." Die mögliche Zahl von betroffenen Geräten ist also sehr hoch.
Hersteller sollten ab sofort mit dem reparierten SDK 3.3.1.0 oder 3.4.2.0 für Kalay arbeiten. Throughtek und Mandiant erklären, dass Hersteller ausserdem zwei optionale Kalay-Funktionen aktivieren müssen, um die Lücke zu schliessen: das verschlüsselte Kommunikationsprotokoll DTLS und den API-Authentifizierungsmechanismus Authkey.
Für Endnutzer gibt es bis jetzt keine vollständige Liste der betroffenen Geräte. Sie sollten nach Möglichkeit alle verfügbaren Software-Updates auf ihren Geräten installieren. Jack Valletta von Mandiant hofft, dass die Offenlegung der Schwachstelle mehr grosse Anbieter dazu bringen wird, Kalay in ihren Produkten zu aktualisieren.

Loading

Mehr zum Thema

image

Vinci Energies (Axians) übernimmt IT-Service-Töchter von Kontron (S&T)

Vinci Energies integriert die aufgekauften Unternehmensteile in 10 Ländern, darunter auch der Schweiz, in sein ICT-Unternehmen Axians.

publiziert am 15.8.2022
image

Swisscom verliert Festnetztelefonie von Basel-Stadt an Sunrise

Im Rahmen der Mitgliedschaft bei eOperations Schweiz sind die Verwaltung des Kantons Basel-Stadt plus Uni, Spital, Verkehrs-Betriebe und Industrielle Werke zu Sunrise gewechselt.

publiziert am 12.8.2022
image

Report: Githubs KI-Tool Copilot macht Code unsicherer

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

publiziert am 12.8.2022
image

Wegen Korruption verurteilter Samsung-Chef begnadigt

Die Begnadigung soll Lee Jae-yong laut Justizminister erlauben, einen Beitrag zur "Überwältigung der wirtschaftlichen Krise" des Landes zu leisten.

publiziert am 12.8.2022