Во вторник была опубликованная информация об уязвимости программной платформы, работающей на миллионах устройств интернета вещей. В том числе она есть на популярных камерах видеонаблюдения и радионянях. Обновление для закрытия уязвимости было выпущено ещё в 2018 году, но далеко не все производители поставили его. Впрочем, доказательств злонамеренных использований этой уязвимости пока нет.

В конце прошлого года специалисты компании по информационной безопасности Mandiant нашли эксплоит для платформы Thoughtek Kalay. Теперь сведения о нём были опубликованы совместно с Агентством кибербезопасности инфраструктуры Министерства внутренней безопасности США.

Платформа Kalay представляет собой комплект средств разработки для производителей устройств интернета вещей. Она позволяет выполнять защищённое подключение к мобильным приложениям. В результате можно управлять домашними камерами или радионянями со смартфона.

Уязвимость позволяет хакерам тоже подключаться к умным устройствам и получать картинку и звук. С помощью удалённого интерфейса можно обновлять прошивку, поворачивать камеру, перезагружать устройство незаметно для его обладателя.

Если злоумышленник узнает идентификатор устройства, он сможет найти предустановленные логин и пароль и с их помощью подключиться к другим устройствам в домашней сети пользователя. Можно получать полный контроль над камерой, выключить её и поставить вредоносную программу на любые устройства. Пользователь увидит лишь небольшую задержку в работе устройств.

Выпущенная в 2018 году версия 3.1.10 комплекта средств разработки получила патч. Его должны ставить не обладатели устройств, а производители. Устройства интернета вещей становятся всё популярнее, а вместе с этим растёт число атак на них. Два месяца назад была найдена другая уязвимость в SDK Kalay версии 3.1.5 и более ранних. В апреле были найдены девять уязвимостей в стеках TCP/IP сотен миллионов устройств IoT.