Haberler
Bebek Kameraları Dahil Milyonlarca IoT Cihazı Siber Saldırılara Karşı Savunmasız!
Tespit edilen yeni bir güvenlik zafiyeti, siber korsanların ThroughTek IoT cihazlarından ses ve görüntü alabilmesinin yanı sıra yeni saldırılar düzenlemek için kullanıcı bilgileri çalmalarına izin veriyor.
Güvenlik araştırmacıları tarafından tespit edilen IoT tedarik zinciri zafiyetinin milyonlarca ThroughTek internet bağlantılı kamerayı casusluğa maruz bırakabileceği düşünülüyor. Analizlere göre zafiyet küresel alandaki IoT kameralarını etkiliyor ve siber korsanların video akışlarına müdahale etmesine izin veriyor.
ThroughTek’in Ağustos 2021 itibariyle 83 milyon aktif IoT cihazı bulunduğu ve platform üzerinde aylık 1.1 milyar bağlantı gerçekleştirildiği belirtildi.
Güvenlik zafiyeti ThroughTek‘in yazılımında çekirdek bir parçayı temsil eden bulut platformunda tespit edildi. Platform, OEM’ler (orijinal ürün üreticileri) tarafından IP kameraları, bebek ve evcil hayvan kameraları, batarya cihazları ve robotik cihazlar üretmek için kullanılıyor.
CVE-2021-28372 olarak listelenen zafiyet şirketin P2P yazılım geliştirme kitinde (SDK) yer alıyor. P2P SDK, müşterilerin masaüstü veya mobil uygulamalar üzerinden kameraların ses veya video akışlarına internet üzerinden erişmelerini sağlıyor.
Araştırmacılar, söz konusu veri akışlarını iletmek için kullanılan protokolün bir güvenlik anahtarı değişimine sahip olmadığını tespit etti. Tersine, protokol sabit anahtarlı güvenlik sistemine dayanıyor. Böylece, siber saldırganlar protokole erişim sağlayarak ses ve video akışı başlatarak kullanıcılar üzerinde casusluk yapabiliyor. Dahası, siber saldırganlar cihaz bilgilerine erişebiliyor, ses ve video akışlarını gizlice takip edebiliyor ve cihaz sertifikalarını çalabiliyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yapılan açıklamada, zafiyetin SDK 3.1.5 ve daha eski versiyonları etkilediği, aynı zamanda AuthKey ve IOTC bağlantısı donanım yazılımı bulunmayan versiyonları ve RDT modülü, P2PTunnel veya iletişim protokolü DTLS etkisiz bırakılmadan AVAPI modülü kullanılan versiyonların risk altında olduğu belirtildi.
CISA, güvenlik zafiyetinin son kullanıcıların güvenliği ve gizliliği üzerinde önemli bir risk oluşturduğunu belirtirken, TroughTek SDK’ları düzgün uygulamayan geliştiricileri veya en son versiyonu yüklemeyen geliştiricileri suçladı. Şirket 3.3 versiyonunu bu sorunu aşmak için 2020 ortasında sunduklarını ve cihazlarının SDK’larını güncellediklerini, güncelleme yapmayanların zafiyete maruz kalabileceğini belirtti.