美国官方曝网络摄像头大漏洞，超 8300 万台设备受影响

8月19日消息，本周二，美国联邦网络安全和基础设施安全局（CISA）公布了一个影响数以千万计的物联网设备的严重漏洞，攻击者不仅能够通过该漏洞看到安全网络摄像头等设备拍摄的实时视频，还能利用该漏洞控制这些设备。美国网络安全公司Mandiant在2020年末发现了这一漏洞。该公司称，这一漏洞影响了超过8300万台网络设备，不过他们无法确定受到漏洞影响的产品和公司的完整名单。一、SDK出漏洞，8300万台智能设备受影响一个漏洞潜伏在包括网络摄像头等多种智能设备中，可能会使攻击者通过互联网访问其实时视频和音频流，甚至远程获得该设备的完全控制权。更糟糕的是，这个漏洞不仅限于单个制造商，它出现在一个软件开发工具包（SDK）中，这个工具包渗透到超过8300万台设备之中，每个月都产生超十亿次互联网连接。有问题的SDK是ThroughTekKalay，它提供了一个即插即用的系统，用于将智能设备与其相应的移动应用程序连接起来。Kalay平台为智能设备和其相应的应用程序提供代理，可以处理身份验证，并来回发送数据和命令。▲Kalay工作原理示意图美国网络安全公司Mandiant的研究人员在2020年底发现了这个漏洞，并于本周二与CISA一起公开披露了这个漏洞。Mandiant的主管JakeValletta说：“Kalay为这些智能设备提供必要的连接和相应的功能，然而攻击者可以随意连接到这些设备，检索音频和视频，然后使用远程API执行注入触发固件更新、更改相机角度或重启设备等操作，并且用户还不会知道发生了什么问题。”二、攻击者可获取用户账号密码，用户无法重置设备摆脱入侵该漏洞存在于设备与其移动应用程序之间的注册程序中。研究人员发现，这种设备与应用程序的连接取决于每个设备的UID，这是一个唯一的Kalay标识符。据Valletta所说，攻击者可以很容易的从制造商的其他网络漏洞中获取到这些UID。拥有设备UID并对Kalay协议有所了解的攻击者可以重新注册设备的UID以覆盖Kalay服务器上现有的设备。当设备的拥有者尝试重新将设备连接到网络时，攻击者就可以劫持并获取该设备的账号与密码。这个过程中，用户可能会经历几秒钟的延迟，但是从他们的角度来看，一切都在正常运行。但是，掌握了UID和账号密码的攻击者可以通过Kalay远程控制这些设备，还能以这些被侵入的设备为起点，更加深入目标网络。▲攻击者入侵原理示意图利用该漏洞，攻击者可以实时观看网络设备拍摄到的视频，还可以在目标设备上安装恶意固件。此外，由于攻击是通过获取凭据，然后通过Kalay远程管理设备进行的，因此设备的所有者无法通过重置设备或擦除数据来摆脱入侵者，因为攻击者很容易再次发起攻击并重新控制。“受到影响的设备可能会受到不当的访问控制，此漏洞可允许攻击者访问敏感信息或执行远程代码。CISA建议用户采取防御措施，以最大限度地降低此漏洞带来的风险。”CISA在周二的公告中写道。三、更新固件能避免攻击，三年过去仍有大量设备未更新然而，与许多物联网安全漏洞一样，确认了漏洞存在的位置并不等于修复了漏洞。Kalay的提供商ThroughTek只是需要参与解决这一漏洞的众多相关方之一。智能设备的白牌制造商在他们的产品中加入Kalay，然后产品会被别的公司买走，贴上特定的品牌出售。这意味着即使ThroughTek提供了修复该漏洞的方法，也很难确切地知道有多少公司依赖Kalay，并需要修复这个漏洞。Mandiant的研究者没有发布他们对于Kalay协议的分析或利用该漏洞的细节，他们说他们的目标是在不向潜在的攻击者提供思路的情况下提高人们对这一问题严重性的认识。ThroughTek和Mandiant称，要堵住这一漏洞，厂商必须开启两个可选的Kalay功能：加密通信协议DTLS和API身份验证机制AuthKey。“我们已经从Mandiant那里得知了这个漏洞，并且已通知使用旧SDK的客户更新其设备固件。”ThroughTek的产品安全事件响应团队成员Yi-ChingChen说。不过，与Mandiant的发现一致，他们很难让客户集体更新。尽管ThroughTek在三年前就已经发布了能够一定程度上避免这种攻击的SDK版本，但是现在仍然存在大量易受攻击的设备。“在过去的三年里，我们一直在通知我们的客户升级他们的设备，但是一些旧设备缺乏空中下载技术（OTA）功能，这使得他们无法进行升级。此外，我们有些客户不想启用DTLS，因为这会减慢建立连接的速度，因此他们对升级犹豫不决。”Yi-ChingChen补充道。JakeValletta称，这次的公开的披露这个漏洞就是希望能够让客户认识到这一漏洞的严重性，并让大型制造商在其产品中更新Kalay。但是实际上小公司制造的设备可能永远无法修复这些漏洞，因为他们在安全方面没有大量的资金和设备投入，或者他们仅仅是从白牌产品供应商哪里购买完整的产品然后打上自己的品牌名称。结语：网络信息安全要得到更多重视近些年来，随着互联网技术的迅速发展，各类智能设备得到迅速的普及。但是信息泄露问题一直在伴随着这一过程。家用网络摄像头被破解，个人隐私遭泄露的事件时有发生。现在不论是国家层面立法保护公民的个人信息安全，还是各智能设备厂商自发的加码用户的隐私保护，都说明个人的信息安全正在得到越来越多的重视。家用的智能设备尤其是网络摄像头作为一个私密性较强的设备，如果被入侵，对于设备的拥有者来说后果是较为严重的。因此，相关监管机构以及设备的生产商、经销商等相关角色对此类信息安全更应加倍重视。