新訊及公告

請更新SDK版本 以降低資料遭盜取的風險

敬愛的客戶:

物聯智慧(TUTK)察覺其IOTC加密與裝置驗證的安全性漏洞,此漏洞可能讓惡意攻擊者未經授權竊取裝置端傳輸的敏感訊息,或利用假冒裝置來盜取資料。

針對此漏洞,物聯智慧立即著手釐清問題並即刻為客戶提供因應措施。建議客戶立即採取以下措施,以降低此漏洞可能帶來的資安風險:

  • 若使用TUTK SDK v3.1.10及更新的版本,請啟用AuthKeyDTLS;

  • 若使用TUTK SDK v3.1.10之前的所有舊版本,請將資料庫升級到v3.3.1.0v3.4.2.0,並啟用AuthKeyDTLS

更多資訊請參考以下資安公告。如您有任何問題,請與物聯智慧聯繫,以取得進一步的協助。

 

資安公告

TUTK-SA-51721: IOTC加密與裝置驗證的安全性漏洞

出版日期:2021720

更新日期:2021813

 

漏洞描述

此安全性漏洞影響採用P2P SDK v3.1.10之前所有版本的裝置,將無法充分保護使用SDK舊版本的裝置與物聯智慧伺服器之間資料傳輸的安全性,這可能讓惡意攻擊者有機會獲取敏感訊息,例如: 攝影機的影音資訊。另外,攻擊者還有可能透過假冒的裝置,劫取被冒用裝置的影音數據。

 

存在的風險

  • 裝置遭非法冒用 (Device Spoofing)
  • 裝置憑證被劫取 (Credential Hijacking)
  • 裝置數據被盜取 (Data Snippet)

受影響的SDK版本及裝置類型

  • SDK 1.10之前的所有版本
  • 帶有nossl tagSDK版本
  • 未啟用AuthKey進行IOTC連線的韌體裝置
  • 採用AVAPI模組但未啟用DTLS的韌體裝置
  • 使用P2PTunnelRDT模組的韌體裝置

 

因應措施/解決方案

物聯智慧提供以下因應措施,建議客戶採用以下措施以降低資安風險:

  • 若使用SDK版本為1.10或更新的版本,請啟用AuthKey / DTLS
  • 若使用SDK 3.1.10之前的版本,請將資料庫升級到v3.3.1.0或v3.4.2.0並啟用AuthKey / DTLS

如需更進一步的技術指引或協助,請與物聯智慧聯繫。

 

一般性資安建議

隨著資訊技術的快速發展,資訊安全防護也越來越具挑戰性。 因此,物聯智慧建議客戶留意我們所發布的SDK更新通知,以適時更新SDK版本,降低裝置遭受惡意攻擊的風險。

 

參考資訊CVE-2021-32934 / ICSA-21-166-01 CVE-2021-28372

物聯智慧股份有限公司
2021年8月

Bitnami