Hva er Kalay og sårbarheten som påvirker millioner av IoT-enheter

Opptil 83 millioner Kalay-webkamerabrukere personvern kan være i fare i henhold til funn fra Mandiant og Cybersecurity and Infrastructure Security Agency, men en omfattende liste over berørte produkter er fortsatt unnvikende. Kalay, plattformen laget av den taiwanske IoT-utvikleren ThroughTek, brukes over hele verden innen elektronikk som f.eks. barnepikekameraer, digitale videoopptakere og smartkameraer som et utviklingssett for deres respektive programvareskapere.

Høyprofilerte personvernhendelser dukker opp regelmessig, med nyere eksempler, inkludert T-Mobile som mister dataene på rundt 47 millioner på grunn av et sikkerhetsbrudd. Selv om selskapet lukket datahullet, forblir alle med en etterbetalt T-Mobile-plan i fare, med personlig informasjon som førerkortnumre og konto-PIN-er som muligens blir utsatt for dårlige skuespillere. Facebook kunngjorde også nylig at 533 millioner brukerkontoer ble kompromittert, inkludert personlige data som navn, e-postadresser, telefonnumre og mer.

Når det gjelder Kalay-hendelsen, har sårbarheten som hackere kan utnytte, blitt kalt 

CVE-2021-28372, eller FEYE-2021-0020 av Mandiant. Sårbarheten har en vurdering på 9,6 CVSS3.1 betyr at situasjonen er kritisk. Måten sårbarheten fungerer på er at hackere kan eksternt få tilgang til ofrenes IoT-enheter for å lytte til lyd eller se opptak fra kameraet. Hackere bruker sosial ingeniørkunst eller andre midler for å få produktets unike identifikator, som punkt enheten kan bli angrepet og, hvis sårbarheten er tilstede, overtatt av hackeren From der, hackere kan få tilgang til live feeds fra den kompromitterte enheten, panorer kameraer for å se deg rundt og lytte til live lyd. Jake Valletta, Mandiants direktør fortalte Kablet at den eneste giveawayen at en enhet er hacket er noen få sekunders forsinkelse etter oppstart, så de fleste vil aldri vite at kameraene deres ble ødelagt.

Bør brukere være bekymret?

På grunn av mangel på detaljer om hvilke selskaper og produkter som faktisk er berørt vi vet ikke hva som var og hva som ikke kjørte Kalay-utviklersettet. Den eneste ledetråden om hva som kan bli berørt er en pressemelding datert november 2020. Det står at ThroughTek hadde partnerskap med verdens ti beste produsenter av babypleiekameraer, men lister ingen firma eller produkt ved navn. Hvis du eier et smartkamera, babymonitor eller digital videoopptaker, bør du anta det verste og oppdatere enhet med den nyeste fastvaren og sikkerhetsoppdateringene for å sikre at det gapende sikkerhetshullet lukkes så snart som mulig.

Tilgangsnivået denne utnyttelsen gir hackere er uten sidestykke. Ondsinnede parter kan gjøre alt fra å slå av sikkerhetskameraer, aktivere webkameraer uten at eieren vet det, eller til og med få tilgang til en babymonitor-feed. Hvis en dårlig skuespiller installerer sin egen hackede firmware på kameraet, er det en god sjanse for at de vil kunne kontrollere enheten din på ubestemt tid. Til tross for at funnene haster, har ThroughTek vært ordknappe om hvem som kan bli berørt, med lenker til deres tidligere partnerskap som fører til en 404-side, i tillegg til å ikke gi ut en pressemelding på deres nettsted etterlater potensielt millioner av IoT-brukere personvern i fare.

Kilde: Ild øye, Kablet, PR Newswire

Netflix: Hver film og TV-serie lanseres i november 2021

Om forfatteren