Sicherheitsforscher von Mandiant haben eine Sicherheitslücke entdeckt, die Millionen von IoT-Geräten betrifft. Angreifer könnten direkt über das Internet die volle Kontrolle über diese Geräte übernehmen. Die Lücke wurde in der Software-Kernkomponente der Kalay-Cloud-Plattform des taiwanischen Unternehmens Throughtek entdeckt, die von Fabrikanten unter anderem bei der Herstellung von IP-Kameras, Babyphones, Haustierüberwachungskameras und Geräten zur Videoaufzeichnung verwendet wird.

Die Schwachstelle "CVE-2021-28372" (CVSS-Score 9,6/10) liegt im P2P-SDK des Unternehmens vor, einer Funktion, die es einem Client auf einem Desktop oder einer mobilen App ermöglicht, über das Internet auf die Audio- oder Videostreams der Kamera zuzugreifen.

Ein Angreifer, der über die eindeutige Kennung (UID) eines Zielsystems verfügt, könnte im Kalay-Netzwerk ein von ihm kontrolliertes Gerät registrieren und alle Verbindungsversuche des Clients empfangen. So könnten Anmeldeinformationen erhalten werden, die den Fernzugriff auf die Audio- und Video-Daten des Opfergeräts ermöglichen.

"Man baut Kalay ein, und es ist der Klebstoff und die Funktionalität, die diese intelligenten Geräte benötigen", erklärt Jake Valletta, Director of Professional Service bei Mandiant. "Ein Angreifer könnte sich nach Belieben mit einem Gerät verbinden, Audio und Video abrufen und die Remote-API verwenden, um dann beispielsweise ein Firmware-Update auszulösen, den Schwenkwinkel einer Kamera zu ändern oder das Gerät neu zu starten. Und der Benutzer weiss nicht, dass etwas nicht stimmt."

In einem Blogbeitrag zur Schwachstelle schreibt Mandiant: "Aktuell wirbt Throughtek mit mehr als 83 Millionen aktiven Geräten und über 1,1 Milliarden monatlichen Verbindungen auf ihrer Plattform." Die mögliche Zahl von betroffenen Geräten ist also sehr hoch.

Hersteller sollten ab sofort mit dem reparierten SDK 3.3.1.0 oder 3.4.2.0 für Kalay arbeiten. Throughtek und Mandiant erklären, dass Hersteller ausserdem zwei optionale Kalay-Funktionen aktivieren müssen, um die Lücke zu schliessen: das verschlüsselte Kommunikationsprotokoll DTLS und den API-Authentifizierungsmechanismus Authkey.

Für Endnutzer gibt es bis jetzt keine vollständige Liste der betroffenen Geräte. Sie sollten nach Möglichkeit alle verfügbaren Software-Updates auf ihren Geräten installieren. Jack Valletta von Mandiant hofft, dass die Offenlegung der Schwachstelle mehr grosse Anbieter dazu bringen wird, Kalay in ihren Produkten zu aktualisieren.