新讯及公告

敬爱的客户，

物联智慧(TUTK)察觉其IOTC加密与装置验证的安全漏洞，此漏洞可能让恶意攻击者未经授权窃取装置端传输的敏感讯息，或利用假冒装置来盗取数据。

针对此漏洞，物联智慧立即着手厘清问题并即刻为客户提供因应措施。建议客户立即采取以下措施，以降低此漏洞可能带来的资安风险：

• 若使用TUTK SDK v3.1.10及更新的版本，请启用AuthKey和DTLS;
• 若使用TUTK SDK v3.1.10之前的所有旧版本，请将数据库升级到v3.3.1.0或v3.4.2.0，并启用AuthKey和DTLS。

更多信息请参考以下资安公告。如您有任何问题，请与物联智慧联系，以取得进一步的协助。

资安公告

TUTK-SA-51721: IOTC加密与装置验证的安全漏洞

出版日期：2021年7月20日

更新日期：2021年8月13日

漏洞描述

此安全漏洞影响采用P2P SDK v3.1.10之前所有版本的装置，将无法充分保护使用SDK旧版本的装置与物联智能服务器之间数据传输的安全性，这可能让恶意攻击者有机会获取敏感讯息，例如: 摄影机的影音信息。另外，攻击者还有可能透过假冒的装置，劫取被冒用装置的影音数据。

存在的风险

• 装置遭非法冒用 (Device Spoofing)
• 装置凭证被劫取 (Credential Hijacking)
• 装置数据被盗取 (Data Snippet)

受影响的SDK版本及装置类型

• SDK 1.10之前的所有版本
• 带有nossl tag的SDK版本
• 未启用AuthKey进行IOTC联机的韧体装置
• 采用AVAPI模块但未启用DTLS的韧体装置
• 使用P2PTunnel或RDT模块的韧体装置

因应措施/解决方案

物联智慧提供以下因应措施，建议客户采用以下措施以降低资安风险:

• 若使用SDK版本为1.10或更新的版本，请启用AuthKey / DTLS
• 若使用SDK 3.1.10之前的版本，请将数据库升级到v3.3.1.0或v3.4.2.0并启用AuthKey / DTLS

如需更进一步的技术指引或协助，请与物联智慧联系。

一般性资安建议

随着信息技术的快速发展，信息安全防护也越来越具挑战性。 因此，物联智慧建议客户留意我们所发布的SDK更新通知，以适时更新SDK版本，降低装置遭受恶意攻击的风险。

参考信息：CVE-2021-32934 / ICSA-21-166-01 及 CVE-2021-28372

物联智慧科技(深圳)有限公司
2021年8月