重大なセキュリティ侵害により、世界中の何百万もの接続されたオブジェクトが脅かされます。 Wired の同僚によると、この脆弱性によりライブ ビデオやオーディオ ストリームにアクセスしたり、デバイスをリモートで完全に制御したりすることが可能になるそうです。問題は、この欠陥が 8,000 万を超える接続オブジェクトで使用されるソフトウェア開発キットに存在するということです。
私たちの接続されたオブジェクトは定期的にさまざまな脅威の標的になります。このテーマに関する話には事欠きません。これらの大人のおもちゃはセキュリティ上の欠陥だらけです、あるいはこれらの安価な接続ドアホンは特にハッキングが簡単です。しかし、Wired サイトの同僚が説明しているように、現在の脅威を軽視すべきではありません。
Mandiant の IT セキュリティ研究者によると、8,000 万以上の接続されたオブジェクトに脆弱性が隠れている世界中で。これは、カメラ、デジタルレコーダー、ドアホン、さらにはベビーモニターにも関係します。彼らの説明によれば、この欠陥はThroughTek Kalay と呼ばれるソフトウェア開発キット。
接続された何百万ものオブジェクトを脅かす欠陥
このキットは、何百万もの接続されたオブジェクトで使用されており、すぐに使用できるシステムを提供します。スマートデバイスを対応するモバイルアプリに接続する。言い換えれば、Kalay プラットフォームは、デバイスとその Android または iOS アプリケーションの間のゲートウェイとして機能します。特に、認証を管理し、コマンドとデータを両方向に送信します。
Mandiant 社の研究ディレクターである Jake Valleta 氏によると、この欠陥により「ハッカーは、自由にデバイスに接続し、オーディオおよびビデオ データを取得し、リモート API を使用してファームウェアのアップデートをトリガーしたり、カメラ アングルを変更したり、デバイスを再起動したりできます。そしてユーザーは何も問題が起きていることに気づきません。」
調査を実施した後、マンディアントの専門家は次のことを判断しました。欠陥はデバイスとそのモバイルアプリケーション間の登録メカニズムにあります。この基本的な接続は、Kalay によって提供される一意の識別子である UID に基づいています。実際、攻撃者がソーシャル エンジニアリング手法またはメーカーに属するデータの漏洩を通じてデバイスの UID を取得できた場合、次のことが可能になります。IUDを再登録して接続をハイジャックする次回ターゲットデバイスへの正当なアクセスを試みるとき。
こちらもお読みください:1 億以上の接続されたオブジェクトが重大なセキュリティ脆弱性の脅威にさらされています。
修正は導入されましたが…
ユーザーの観点からは、デバイスを通常どおりに起動する前に、数秒のわずかな速度の低下に気づくだけです。一方、攻撃者は次のことを行う可能性があります。特別な識別子を取得する、各メーカーによって決定された一意のランダムなユーザー名とパスワードなど。この2つのデータを手元に置いて、その後、Kalay プラットフォームを介してデバイスをリモートで自由に制御できるようになります。
今のところ、マンディアントの研究者らは、この欠陥が悪用された証拠はないと述べている。その一環として、ThroughTek Kalay がパッチを公開しました。ただし、このパッチをそれぞれのデバイスに展開するかどうかは多くの製造元に任されています。それには長い時間がかかる可能性があります。
ソース :有線
![[ROM] [Android 5.1.1] CyanogenMod 12.1 を注ぐ Xperia Z2](https://yumie.trade/statics/image/placeholder.png)
