新訊及公告
請更新SDK版本 以降低資料遭盜取的風險
敬愛的客戶:
物聯智慧(TUTK)察覺其IOTC加密與裝置驗證的安全性漏洞,此漏洞可能讓惡意攻擊者未經授權竊取裝置端傳輸的敏感訊息,或利用假冒裝置來盜取資料。
針對此漏洞,物聯智慧立即著手釐清問題並即刻為客戶提供因應措施。建議客戶立即採取以下措施,以降低此漏洞可能帶來的資安風險:
- 若使用TUTK SDK v3.1.10及更新的版本,請啟用AuthKey和DTLS;
- 若使用TUTK SDK v3.1.10之前的所有舊版本,請將資料庫升級到v3.3.1.0或v3.4.2.0,並啟用AuthKey和DTLS。
更多資訊請參考以下資安公告。如您有任何問題,請與物聯智慧聯繫,以取得進一步的協助。
資安公告
TUTK-SA-51721: IOTC加密與裝置驗證的安全性漏洞
出版日期:2021年7月20日
更新日期:2021年8月13日
漏洞描述
此安全性漏洞影響採用P2P SDK v3.1.10之前所有版本的裝置,將無法充分保護使用SDK舊版本的裝置與物聯智慧伺服器之間資料傳輸的安全性,這可能讓惡意攻擊者有機會獲取敏感訊息,例如: 攝影機的影音資訊。另外,攻擊者還有可能透過假冒的裝置,劫取被冒用裝置的影音數據。
存在的風險
- 裝置遭非法冒用 (Device Spoofing)
- 裝置憑證被劫取 (Credential Hijacking)
- 裝置數據被盜取 (Data Snippet)
受影響的SDK版本及裝置類型
- SDK 1.10之前的所有版本
- 帶有nossl tag的SDK版本
- 未啟用AuthKey進行IOTC連線的韌體裝置
- 採用AVAPI模組但未啟用DTLS的韌體裝置
- 使用P2PTunnel或RDT模組的韌體裝置
因應措施/解決方案
物聯智慧提供以下因應措施,建議客戶採用以下措施以降低資安風險:
- 若使用SDK版本為1.10或更新的版本,請啟用AuthKey / DTLS
- 若使用SDK 3.1.10之前的版本,請將資料庫升級到v3.3.1.0或v3.4.2.0並啟用AuthKey / DTLS
如需更進一步的技術指引或協助,請與物聯智慧聯繫。
一般性資安建議
隨著資訊技術的快速發展,資訊安全防護也越來越具挑戰性。 因此,物聯智慧建議客戶留意我們所發布的SDK更新通知,以適時更新SDK版本,降低裝置遭受惡意攻擊的風險。
參考資訊:CVE-2021-32934 / ICSA-21-166-01 及 CVE-2021-28372
物聯智慧股份有限公司
2021年8月