Sicherheitsforscher schlagen Alarm wegen einer kritischen Sicherheitslücke, die weltweit mehrere Millionen Geräte betrifft, die über die Kalay IoT-Cloud-Plattform von ThroughTek verbunden sind. Demnach betrifft das Sicherheitsproblem Produkte verschiedener Hersteller, die Video- und Überwachungslösungen sowie IoT-Heimautomatisierungssysteme anbieten, die das Kalay-Netzwerk zur einfachen Verbindung und Kommunikation mit einer entsprechenden App nutzen. Ein Angreifer könnte den Fehler ausnutzen, um Zugriff auf die Live-Audio- und Video-Streams zu erhalten oder die Kontrolle über das verwundbare Gerät zu übernehmen.
Forscher von Mandiant’s Red Team entdeckten die Schwachstelle Ende 2020 und arbeiteten mit der U.S. Cybersecurity and Infrastructure Security Agency und ThroughTek zusammen, um die Offenlegung zu koordinieren und Möglichkeiten zur Abhilfe zu schaffen. Das erkannte Problem sei eine Geräte-Impersonationsschwachstelle, die einen Schweregrad von 9,6 von 10 erhielt, so die Forscher. Sie betrifft das Kalay-Protokoll, das als Software Development Kit (SDK) implementiert ist, das in mobile und Desktop-Anwendungen integriert ist.
Nach den neuesten Daten von ThroughTek verfügt die Kalay-Plattform über mehr als 83 Millionen aktive Geräte und verwaltet jeden Monat über 1 Milliarde Verbindungen. ThroughTek hat Sicherheitshinweise veröffentlich um die Lücke zu schließen. Besitzer betroffener Geräte können das Risiko mindern, indem sie ihre Gerätesoftware und Anwendungen auf dem neuesten Stand halten und komplexe, eindeutige Anmeldepasswörter festlegen. Außerdem sollten sie es vermeiden, eine Verbindung zu IoT-Geräten über ein nicht vertrauenswürdiges Netzwerk (z. B. öffentliches WiFi) herzustellen.
