新訊及公告

敬愛的客戶:

物聯智慧(股)公司（以下簡稱TUTK）持續監控各種安全保護機制的運作，特此通知客戶，包含P2P程式庫的SDK版本3.1.5(含)以前的舊版本存在安全性漏洞。此安全漏洞可能導致IOTC加密受到威脅，此漏洞已在2018年中所發布的SDK版本3.1.10及後續更新版本中予以排除。為了保護客戶的產品安全，我們強烈建議客戶查看產品中所採用的SDK版本，並按照以下說明進行版本升級操作，以避免任何潛在的問題。

未來TUTK仍將致力提供更佳品質的P2P連線軟體服務，但無法保證舊版本SDK服務的持續穩定，我們強力建議客戶隨時密切注意未來TUTK發布之SDK版本升級，以應對新的安全威脅。如果您還有其他疑問，請隨時與您的TUTK窗口聯繫，以取得進一步協助。

受影響的SDK版本及韌體類型

1. 3.1.10版及之前的所有舊版本
2. 所有SDK版本為帶有nossl標籤者
3. 設備韌體未採用IOTC連線之AuthKey
4. 採用AVAPI模組之設備韌體但未啟用DTLS
5. 採用P2PTunnel or RDT模組之設備韌體

可能造成的不良影響

1. 硬體裝置的合法身分被移植或盜用(Device spoofed)
2. 被非法第三方盜用設備之認證權限(Device certificate hijack)
3. 個人或機密資料遭破解或盜用(Private data/video leakage)

建議採行的措施

1. 若SDK版本為3.1.10或更新版本，請啟用執行AuthKey / DTLS
2. 若SDK版本低於3.1.10，請將程式庫升級到3.3.1.0或3.4.2.0並啟用AuthKey / DTLS

完成SDK更新須由具備以下技能之專業人員進行

1. 熟稔網路安全架構相關知識
2. 具備網路安全偵測分析工具(Network Sniffer Tools)之操作與執行能力
3. 熟稔資料加密演算法(Encryption Algorithm)

物聯智慧股份有限公司
2021年6月