CISA警告：物联智慧的SDK含有可能遭第三方窃听的严重漏洞

美国国土安全部旗下的网络安全暨基础架构安全署（CISA）本周警告，台湾物联网云端服务平台解决方案供应商物联智慧（ThroughTek）所开发的P2P SDK，含有一个CVE-2021-32934漏洞，成功的开采将允许未经授权的第三方存取机密资料，例如监视器的声音或影片。

成立于2008年的物联智慧打造了Kalay云端平台，以协助物联网（IoT）装置制造商快速于市场上推出具备云端功能的网络摄影机或其它IoT装置，已登上台湾的兴柜股票交易平台。

图片来源_物联智慧

根据CISA的说明，物联智慧借由Kalay平台替多家网络摄影机的制造商提供P2P的连线能力，但其P2P SDK含有一个漏洞，是以明文传输机密资讯，将允许未经许可的第三方存取这些机密资讯，影响了全球采用该P2P SDK的装置。由于该漏洞可自远端开采，且并不复杂，使得它的CVSS v3风险评分高达9.1。

物联智慧则指出，最近发现有许多客户的硬件产品并未正确采用SDK，或者未即时更新SDK，而带来严重的安全漏洞，可能造成硬件装置的合法身份被移植或盗用，或遭第三方盗用设备的认证权限，以及机密资料被盗用等。

事实上，物联智慧早在2018年释出的SDK 3.1.10中修补该漏洞，该公司强烈建议客户查看产品中所采用的SDK版本，并尽快升级。此外，就算已更新至SDK 3.1.10或之后的版本，也应启用AuthKey与DTLS。文⊙陈晓莉

（编按：针对这次CISA提出的漏洞修补警告，经我们询问台厂“物联智慧”（Throughtek，TUTK），他们提供了更多关于这次事件的细节说明。基本上，物联智慧在2018年自行安全性检视时，已经发现该漏洞并修补，也就是当时释出的SDK 3.1.10版已经修补，不过，到了2021年4月，物联智慧收到CISA通知，有安全顾问公司发现一些网络监控摄影机存在安全漏洞，而这些设备使用的仍是TUTK SDK 3.1.4以前的旧版本，也因此，今年才有CVE-2021-32934漏洞公布。

换言之，这些产品业者并未升级更新SDK而导致。物联智慧说明，在过去三年，他们持续主动通知客户应即时升级SDK至最新版本，对于客户不升级的状况，他们指出，部分客户的旧有设备因不具备OTA功能，因此无法进行远端固件升级。另一方面，有些客户不愿启用DTLS，可能因为怕会降低建立连线的速度，因此对升级SDK版本有所迟疑。

有那些产品使用物联智慧的SDK？该公司表示，采用他们技术的产品遍布全球，主要产品包括各种网络摄影机，NVR/DVR等安防监控类产品。因此，他们强烈呼吁这些产品的业者，必须检视产品中所采用的SDK版本，并进行版本升级操作。

至于市面上有多少产品未修补？物联智慧表示，由于客户产品并非完全采用OTA功能，以及客户产品售出后是否持续通知使用者升级SDK，并不会告知物联智慧，因此物联智慧无法精准给予答复。整理⊙iThome资安主编罗正汉）