Gangguan rantai pasokan IoT yang memengaruhi jutaan kamera

Pakar keamanan telah memperingatkan kerentanan serius dalam rantai pasokan Internet of Things yang dapat memengaruhi jutaan kamera yang terhubung secara global, memungkinkan penyerang untuk membajak aliran video.

Jaringan Nozomi Mendeteksi bug dalam komponen perangkat lunak umum dari melalui Tech, yang digunakan oleh OEM untuk memproduksi kamera IP, monitor bayi dan hewan peliharaan, perangkat robot, dan paket baterai.

Kesalahan yang sama ditemukan di P2P SDK yang diproduksi oleh perusahaan. Dalam hal ini, P2P mengacu pada fungsionalitas yang memungkinkan klien pada aplikasi seluler atau desktop untuk mengakses aliran audio/video dari kamera atau perangkat melalui Internet.

Jaringan Nozomi mengklaim bahwa protokol yang digunakan untuk mengirimkan aliran data ini “tidak memiliki pertukaran kunci yang aman dan sebaliknya bergantung pada skema kebingungan yang bergantung pada kunci keras.”

Ini berarti bahwa penyerang yang tidak sah dapat mengaksesnya untuk membangun kembali aliran audio/video – secara efektif memungkinkan mereka untuk meretas pengguna jarak jauh.

CISA Kemarin mengeluarkan peringatan keamanannya sendiri untuk ThroughTek P2P SDK, memberikan skor CVSS kritis 9,1. Sesuai saranMempengaruhi: versi 3.1.5 dan sebelumnya; Versi SDK dengan tag nossl; dan firmware perangkat yang tidak menggunakan AuthKey untuk koneksi IOTC, menggunakan modul AVAPI tanpa mengaktifkan DTLS, atau menggunakan modul P2PTunnel atau RDT.

ThroughTek menyalahkan pengembang karena menerapkan SDK secara tidak benar atau gagal memperbarui penawaran.

Dikatakan bahwa versi 3.3 diperkenalkan pada pertengahan 2020 untuk memperbaiki kerentanan ini dan mendesak setiap pelanggan untuk memperbarui versi SDK yang digunakan dalam produk mereka.

seperti yang terungkap Kesalahan dapat menyebabkan penyadapan yang tidak sah pada video kamera, audio dan spoofing perangkat, dan pembajakan sertifikat perangkat.

Kasus ini menyoroti tantangan yang dihadapi pengguna Internet of Things dan perangkat lain, yang memiliki rantai pasokan yang kompleks dengan menggunakan komponen dari pihak ketiga.

Pada tahun lalu, beberapa kerentanan zero-day ditemukan di perpustakaan perangkat lunak TCP/IP tingkat rendah yang banyak digunakan yang mungkin telah memengaruhi ratusan juta perangkat IoT.

Pada bulan April tahun ini, para peneliti menemukan banyak kekurangan yang dijuluki “nama: puing-puing” dalam perangkat lunak IT populer FreeBSD dan berbagai jenis firmware IoT/OT, yang mereka klaim mungkin ada di lebih dari 100 juta perangkat.