Уязвимость IoT-устройств позволяет злоумышленникам шпионить за пользователями

Множество видеорегистраторов, камер наблюдения, видеонянь и других устройств интернета вещей, обеспечивающих запись и передачу видео, могут быть использованы хакерами для слежки за пользователями. Об этом сообщили исследователи компании Mandiant. Они обнаружили уязвимость в протоколе Kalay, который разработан компанией ThroughTek и служит для связи с устройствами с мобильных или декстопных приложений. Чтобы понять серьезность проблемы, достаточно знать, что опасность уязвимости (получившей идентификатор CVE-2021-28372) оценена в 9,6 балла по 10-балльной шкале, а число устройств, использующих протокол Kalay, превышает 83 миллиона.

Суть уязвимости состоит в том, что при подключении к сети Kalay запрашивает только уникальный идентификатор устройства (UID). Узнав его тем или иным образом, злоумышленник может зарегистрировать собственное устройство, выдав его, например, за пользовательскую камеру наблюдения. При последующем подключении самого пользователя с мобильного или десктопного приложения в руках организатора атаки окажутся логин и пароль, и он сможет отслеживать изображение с камеры в режиме реального времени.

Компания ThroughTek уведомлена о проблеме и уже выпустила обновления ПО, которые следует установить для ликвидации уязвимости. Также пользователям рекомендовано не использовать общественные точки доступа wi-fi для подключения к своим устройствам.

Источник: Bleeping Computer