Cacat ThroughTek Kritis Membuka Jutaan Kamera Terhubung untuk Menguping

  • Whatsapp
Kamera Terhubung

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada hari Selasa mengeluarkan peringatan mengenai kelemahan rantai pasokan perangkat lunak kritis yang berdampak pada kit pengembangan perangkat lunak (SDK) ThroughTek yang dapat disalahgunakan oleh musuh untuk mendapatkan akses yang tidak tepat ke aliran audio dan video.

“Eksploitasi kerentanan yang berhasil ini dapat memungkinkan akses tidak sah ke informasi sensitif, seperti umpan audio/video kamera,” CISA berkata dalam waspada.

Bacaan Lainnya

Titik-ke-titik ThroughTek (P2P) SDK banyak digunakan oleh perangkat IoT dengan pengawasan video atau kemampuan transmisi audio/video seperti kamera IP, kamera pemantau bayi dan hewan peliharaan, peralatan rumah pintar, dan sensor untuk menyediakan akses jarak jauh ke konten media melalui internet.

Tim Stack Overflow

Dilacak sebagai CVE-2021-32934 (skor CVSS: 9.1), kekurangan tersebut mempengaruhi produk ThroughTek P2P, versi 3.1.5 dan sebelumnya serta versi SDK dengan tag nossl, dan berasal dari kurangnya perlindungan yang memadai saat mentransfer data antara lokal perangkat dan server ThroughTek.

Cacat ini dilaporkan oleh Nozomi Networks pada Maret 2021, yang mencatat bahwa penggunaan kamera keamanan yang rentan dapat membuat operator infrastruktur kritis berisiko dengan mengekspos informasi bisnis, produksi, dan karyawan yang sensitif.

Kamera Terhubung

“Itu [P2P] protokol yang digunakan oleh ThroughTek tidak memiliki pertukaran kunci yang aman [and] sebagai gantinya bergantung pada skema kebingungan berdasarkan kunci tetap,” firma keamanan IoT yang berkantor pusat di San Francisco berkata. “Karena lalu lintas ini melintasi internet, penyerang yang dapat mengaksesnya dapat merekonstruksi aliran audio/video.”

Untuk mendemonstrasikan kerentanan, para peneliti membuat eksploitasi proof-of-concept (PoC) yang menghilangkan penyamaran paket on-the-fly dari lalu lintas jaringan.

Mencegah Pelanggaran Data

MelaluiTek merekomendasikan produsen peralatan asli (OEM) menggunakan SDK 3.1.10 dan yang lebih baru untuk mengaktifkan AuthKey dan DTLS, dan yang mengandalkan versi SDK sebelum 3.1.10 untuk memutakhirkan pustaka ke versi 3.3.1.0 atau v3.4.2.0 dan mengaktifkan AuthKey/DTLS.

Karena cacat tersebut memengaruhi komponen perangkat lunak yang merupakan bagian dari rantai pasokan untuk banyak OEM kamera keamanan tingkat konsumen dan perangkat IoT, dampak dari eksploitasi tersebut dapat secara efektif melanggar keamanan perangkat, memungkinkan penyerang mengakses dan melihat audio rahasia atau aliran video.

“Karena perpustakaan P2P ThroughTek telah diintegrasikan oleh banyak vendor ke banyak perangkat yang berbeda selama bertahun-tahun, hampir tidak mungkin bagi pihak ketiga untuk melacak produk yang terpengaruh,” kata para peneliti.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *