Credit:CC0 Public Domain Mandiant的一组研究人员在使用through tek“Kalay”网络的I oT设备中发现了一个安全漏洞。母公司火眼发表了一篇博客,介绍了发现威胁的团队所做的工作,解释了用户如何保护自己。ThroughTek也在其网站上发布了关于该漏洞的警告。在与网络安全和基础设施安全局(CISA)的一个团队合作时(该机构也在其网站上发布了一条建议,警告用户该漏洞),Mandiant的团队发现,某些物联网(IoT)设备的用户可能面临隐私被侵犯的风险。研究人员发现,该漏洞允许潜在黑客访问设备并控制它们。这意味着黑客可能正在监听婴儿监视器或保姆摄像头附近发生的对话,或者观看安全摄像头的实时视频流。曼迪安特的团队表示,多达8300万台设备可能面临风险。
研究人员发现,使用高通“卡层”网络通过互联网连接到相关移动应用的物联网设备存在漏洞。该协议是由ThroughTek作为软件开发工具包实现的,第三方开发人员可以将其用作向消费者设备添加远程访问的手段。他们还发现,由于各种设备制造商实施协议的方式,无法识别受影响的硬件设备。曼迪安特的团队指出,他们发现的问题在于设备和连接到设备的移动应用程序之间对话的注册机制。
一旦发现该漏洞,Mandiant将与ThroughTek和CISA一起通知所有使用Kalay网络的已知第三方该问题。他们还向他们提供信息,让他们知道自己的产品是否涉及其中。与此同时,高通公司的一个团队提出了一个补丁来解决这个问题。不幸的是,购买和使用受漏洞影响的设备的客户无法自己应用补丁程序,他们必须联系设备制造商,以确保补丁程序已经应用。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
