CISA警告：臺廠物聯智慧的SDK含有可能遭第三方竊聽的嚴重漏洞

美國國土安全部旗下的網路安全暨基礎架構安全署（CISA）本周警告，臺灣業者「物聯智慧」（ThroughTek，TUTK）開發的P2P SDK，含有CVE-2021-32934漏洞，若遭成功利用，將允許未經授權的第三方存取機密資料，例如監視器的聲音或影片。

成立於2008年的物聯智慧，是一家物聯網雲端服務平臺解決方案供應商，他們打造了Kalay雲端平臺，供物聯網（IoT）裝置製造商可快速於市場上推出具備雲端功能的網路攝影機或其他IoT裝置，在2017年，他們登錄臺灣興櫃股票交易平臺。

圖片來源_物聯智慧

根據CISA的說明，物聯智慧藉由Kalay平臺替多家網路攝影機的製造商提供P2P的連線能力，但其P2P SDK含有一個漏洞，是以明文傳輸機密資訊，將允許未經許可的第三方存取這些機密資訊，影響了全球採用該P2P SDK的裝置。由於該漏洞可自遠端開採，且並不複雜，使得它的CVSS v3風險評分高達9.1。

物聯智慧則指出，最近發現有許多客戶的硬體產品並未正確採用SDK，或者未即時更新SDK，而帶來嚴重的安全漏洞，可能造成硬體裝置的合法身分被移植或盜用，或遭第三方盜用設備的認證權限，以及機密資料被盜用等。

事實上，物聯智慧早在2018年釋出的SDK 3.1.10中修補該漏洞，該公司強烈建議客戶查看產品中所採用的SDK版本，並儘快升級。此外，就算已更新至SDK 3.1.10或之後的版本，也應啟用AuthKey與DTLS。文⊙陳曉莉

（編按：針對這次CISA提出的漏洞修補警告，經我們詢問臺廠「物聯智慧」（Throughtek，TUTK），他們提供了更多關於這次事件的細節說明。基本上，物聯智慧在2018年自行安全性檢視時，已經發現該漏洞並修補，也就是當時釋出的SDK 3.1.10版已經修補，不過，到了2021年4月，物聯智慧收到CISA通知，有安全顧問公司發現一些網路監控攝影機存在安全漏洞，而這些設備使用的仍是TUTK SDK 3.1.4以前的舊版本，也因此，今年才有CVE-2021-32934漏洞公布。

換言之，這些產品業者並未升級更新SDK而導致。物聯智慧說明，在過去三年，他們持續主動通知客戶應即時升級SDK至最新版本，對於客戶不升級的狀況，他們指出，部分客戶的舊有設備因不具備OTA功能，因此無法進行遠端韌體升級。另一方面，有些客戶不願啟用DTLS，可能因為怕會降低建立連線的速度，因此對升級SDK版本有所遲疑。

有那些產品使用物聯智慧的SDK？該公司表示，採用他們技術的產品遍布全球，主要產品包括各種網路攝影機，NVR/DVR等安防監控類產品。因此，他們強烈呼籲這些產品的業者，必須檢視產品中所採用的SDK版本，並進行版本升級操作。接下來，在這些產品廠商提供新版韌體並確認導入DTLS加密後，廠商便可透過強制韌體更新，或通知客戶更新版本的方式，讓用戶產品完成這項修補。

至於市面上有多少產品未修補？物聯智慧則說明，由於客戶產品並非完全採用OTA功能，以及客戶產品售出後是否持續通知使用者升級SDK，並不會告知物聯智慧，因此他們無法精準給予答覆。

未來，對於使用該SDK的網路攝影監控等廠商的升級動向，將成值得大眾關注的焦點，否則物聯智慧的這些客戶若是一直不願更新，這也意味物聯智慧SDK漏洞一直存在於市面，受害的將是用戶。整理⊙iThome資安主編羅正漢）