新讯及公告

请尽快更新SDK版本以避免安全性问题

敬爱的客户,

物联智慧(TUTK)察觉其IOTC加密与装置验证的安全漏洞,此漏洞可能让恶意攻击者未经授权窃取装置端传输的敏感讯息,或利用假冒装置来盗取数据。

 

针对此漏洞,物联智慧立即着手厘清问题并即刻为客户提供因应措施。建议客户立即采取以下措施,以降低此漏洞可能带来的资安风险:

  • 若使用TUTK SDK v3.1.10及更新的版本,请启用AuthKey和DTLS;
  • 若使用TUTK SDK v3.1.10之前的所有旧版本,请将数据库升级到v3.3.1.0或v3.4.2.0,并启用AuthKey和DTLS。

 

更多信息请参考以下资安公告。如您有任何问题,请与物联智慧联系,以取得进一步的协助。

 

资安公告

TUTK-SA-51721: IOTC加密与装置验证的安全漏洞

出版日期:2021720

更新日期:2021813

 

漏洞描述

此安全漏洞影响采用P2P SDK v3.1.10之前所有版本的装置,将无法充分保护使用SDK旧版本的装置与物联智能服务器之间数据传输的安全性,这可能让恶意攻击者有机会获取敏感讯息,例如: 摄影机的影音信息。另外,攻击者还有可能透过假冒的装置,劫取被冒用装置的影音数据。

 

存在的风险

  • 装置遭非法冒用 (Device Spoofing)
  • 装置凭证被劫取 (Credential Hijacking)
  • 装置数据被盗取 (Data Snippet)

 

受影响的SDK版本及装置类型

  • SDK 1.10之前的所有版本
  • 带有nossl tag的SDK版本
  • 未启用AuthKey进行IOTC联机的韧体装置
  • 采用AVAPI模块但未启用DTLS的韧体装置
  • 使用P2PTunnel或RDT模块的韧体装置

因应措施/解决方案

物联智慧提供以下因应措施,建议客户采用以下措施以降低资安风险:

  • 若使用SDK版本为1.10或更新的版本,请启用AuthKey / DTLS
  • 若使用SDK 3.1.10之前的版本,请将数据库升级到v3.3.1.0或v3.4.2.0并启用AuthKey / DTLS

如需更进一步的技术指引或协助,请与物联智慧联系。

 

一般性资安建议

随着信息技术的快速发展,信息安全防护也越来越具挑战性。 因此,物联智慧建议客户留意我们所发布的SDK更新通知,以适时更新SDK版本,降低装置遭受恶意攻击的风险。

 

参考信息:CVE-2021-32934 / ICSA-21-166-01 及 CVE-2021-28372

 

物联智慧科技(深圳)有限公司
2021年8月

Bitnami