Miljoenen IoT-apparaten kwetsbaar door lek in Kalay-netwerk

Een kwetsbaarheid in het Kalay-netwerk van het bedrijf ThroughTek maakt miljoenen IoT-apparaten kwetsbaar. Aanvallers kunnen onder meer slachtoffers afluisteren, via ingebouwde camera's bespioneren en inloggegevens van de apparaten achterhalen.

Hiervoor waarschuwt Mandiant, onderdeel van het beveiligingsbedrijf FireEye, in een blogpost. Mandiant wijst erop dat ThroughTek naar eigen zeggen ruim 83 miljoen actieve apparaten en 1,1 miljard maandelijkse verbindingen met zijn platform heeft. Kalay is een systeem waarmee bedrijven hun smart devices kunnen verbinden met mobiele apps. Het platform verzorgt onder meer het versturen van commando's van en naar smart devices, evenals authentificatie. Allerlei apparaten maken gebruik van het platform, variërend van babyfoons tot slimme camera's.

Unieke identifier

Het probleem zit in een registratiemechanisme dat apparaten en hun mobiele applicaties aan elkaar koppelt. Deze koppeling blijkt gebaseerd op een unieke identifier. Indien een aanvaller deze identifier in handen krijgt, bijvoorbeeld via social engineering, kan deze de koppeling wijzigen. Vervolgens kunnen aanvallers via het Kalay netwerk verbinding leggen met het IoT-apparaten en de controle hierover overnemen. Dit biedt - afhankelijk van het apparaat en ingebouwde hardware - allerlei mogelijkheden. Denk hierbij aan het meekijken en -luisteren via camera's en microfoons.

Het lek is geïdentificeerd als CVE-2021-28372. Mandiant en ThroughTek adviseren gebruikers het Kalay protocol te updaten naar tenminste versie 3.1.10. Zij kunnen vervolgens de functie DTLS inschakelen voor het beschermen van verstuurde data en AuthKey voor een additionele authentificatielaag bij het verbinden met clients.

Meer informatie is hier beschikbaar.