Een beveiligingslek in een veelgebruikt cloudplatform door Internet of Things (IoT)-apparaten maakt het mogelijk om systemen op afstand over te nemen of live met bijvoorbeeld beveiligingscamera's mee te kijken. Volgens fabrikant ThroughTek maken meer dan 83 miljoen apparaten gebruik van het Kalay-netwerk.
Kalay is een platform dat IoT-fabrikanten kunnen gebruiken om een verbinding tussen het apparaat en de bijbehorende app op te zetten. Het platform regelt de authenticatie en verstuurt de data tussen de app en het IoT-apparaat. Zo kunnen gebruikers bijvoorbeeld op afstand met hun camera meekijken. Het wordt dan ook door allerlei IoT-fabrikanten gebruikt.
Onderzoekers van securitybedrijf Mandiant ontdekten een kwetsbaarheid met de registratie van IoT-apparaten op het netwerk. Zodra een apparaat wordt aangesloten registreert die zichzelf via een UID op het Kalay-netwerk. Een aanvaller die dit UID weet te bemachtigen kan een apparaat met hetzelfde UID registreren, waarbij de registratie van het bestaande apparaat wordt overschreven.
Zodra de gebruiker nu via zijn app verbinding met zijn IoT-apparaat wil maken, maakt hij in werkelijkheid verbinding met het apparaat van de aanvaller die zo de inloggegevens kan onderscheppen. Iets waar de gebruiker nauwelijks iets van merkt. Met het al bemachtigde UID en deze inloggegevens kan de aanvaller vervolgens toegang tot het apparaat van de gebruiker krijgen. Zo is het mogelijk om met camera's mee te kijken, een denial of service uit te voeren of andere apparaten in het netwerk van de gebruiker aan te vallen.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,6 beoordeeld. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is het uitvoeren van de aanval niet complex. Mandiant laat echter weten dat het bruteforcen van het 20 bytes grote UID niet haalbaar is. ThroughTek heeft inmiddels verschillende adviezen voor IoT-fabrikanten uitgebracht. Eindgebruikers wordt aangeraden om niet vanaf onbetrouwbare netwerken verbinding met hun IoT-apparaten te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.