Un nou risc de securitate IoT: vulnerabilitate in lantul de aprovizionare prin intermediul P2P ThroughTek

Componenta face parte din lantul de aprovizionare pentru multi producatori de echipamente originale (OEM) de camere de securitate si dispozitive IoT pentru consumatori. ThroughTek afirma ca solutia sa este utilizata de cateva milioane de dispozitive conectate. Kit-ul de dezvoltare software P2P (SDK) de la ThroughTek este utilizat pentru a oferi acces la distanta la fluxurile audio / video prin internet. P2P este utilizat de mai multi furnizori de camere. Cand vorbim despre P2P in contextul camerelor de securitate, ne referim la functionalitatea care permite unui client sa acceseze fluxuri audio / video prin internet.
Riscul utilizarii camerelor vulnerabile este accesul neautorizat la fluxurile confidentiale ale camerelor audio / video. Pentru operatorii de infrastructura critica, acest lucru ar putea insemna dezvaluirea de informatii sensibile despre business, productie si angajati.
Site-ul web ThroughTek arata ca tehnologia sa este utilizata de OEM-urile care produc camere IP, camere de monitorizare pentru bebelusi, animale de companie si dispozitive robotizate si cu baterie.
Nozomi a dezvaluit aceasta vulnerabilitate catre ThroughTek in mod responsabil in martie 2021 si ThroughTek a recunoscut prompt problema. In esenta, orice actor care poate accesa traficul de retea dintre NVR si utilizatorul final, inclusiv furnizorul de server tert P2P in unele scenarii, ar putea accesa si vizualiza fluxuri audio / video confidentiale. De asemenea, compania si-a notificat clientii si s-a angajat sa remedieze vulnerabilitatea prin adaugarea unui „strat de criptare bazat pe DTLS ECDSA-PSK”. ThroughTek recomanda clientilor sa activeze functionalitatea de securitate sau sa faca upgrade la o versiune curenta. Detalii despre vulnerabilitate, cum functioneaza si cum a fost descoperita de cercetatorii Nozomi, puteti vedea aici.
Deoarece biblioteca P2P ThroughTek a fost integrata de mai multi furnizori in mai multe dispozitive diferite de-a lungul anilor, este practic imposibil ca o terta parte sa urmareasca produsele afectate.
In general, atunci cand un cumparator studiaza detaliile tehnice ale diferitelor camere de securitate, nu poate identifica furnizorul P2P sau sa gaseasca o descriere adecvata a protocolului. Din experienta noastra, cel mai bun si singur mod de a obtine aceste informatii este sa citim despre implementarea client / server. Din pacate, majoritatea cumparatorilor nu au abilitatile sau inclinatia de a face acest lucru. Prin urmare, cel mai bun mod de a impiedica vizionarea continutului audio / video capturat de straini pe internet este dezactivarea functionalitatii P2P.