Beheer

Security
Babyfoon IoT

Kritiek lek in IoT-software raakt 83 miljoen apparaten

Toegang tot videofeeds van babyfoons en webcamera's.

© Shutterstock,  New Africa
18 augustus 2021

Toegang tot videofeeds van babyfoons en webcamera's.

Een kritiek lek in software van ThroughTek maakt ruim 80 miljoen IoT-apparaten zeer kwetsbaar voor hacks. Het Amerikaanse beveiligingsorgaan CISA (Cybersecurity and Infrastructure Security Agency) heeft de Taiwanese maker van de lekke software dringend verzocht voor een patch te zorgen.

De bewuste software van ThroughTek is het Kalay-protocol dat wordt gebruikt in zeker 83 miljoen apparaten van verschillende merken. Volgens ThroughTek worden er maandelijks zeker 1,1 miljard verbindingen gemaakt gemaakt op zijn platforms. Daarbij gaat het vooral om babyfoons, DVR-producten (digital video recording) en webcamera’s. Het lek is ontdekt door onderzoekers van beveiligingsbedrijf Mandiant. Een hacker kan hierlangs audio- en videofeeds van die apparaten bekijken.

Het CISA dringt aan bij ThroughTek op een patch. Het Taiwanese softwarebedrijf heeft vooralsnog alleen advies te bieden hoe de beveiligingsrisico’s beperkt kunnen blijven.

SDK in clientsoftware

Het Kalay-protocol is geïmplementeerd als een sofware development kit (SDK) die is ingebouwd in clientsoftware van de apparatuur van veel hardwarefabrikanten en -resellers. Daardoor kan slechts een schatting worden gegeven van het aantal apparaten dat wordt geraakt door dit lek.

In mei dit jaar gaf het CISA al een waarschuwing voor een lek in software van ThroughTek. Dat betrof een ander lek, waardoor remote code execution mogelijk is.

De lekken in de software van ThroughTek geven duidelijk de beveiligingsproblematiek weer van IoT-apparatuur. Volgens de onderzoekers van Mandiant is beveiliging geen prioriteit voor IoT-leveranciers en -producenten. Daar komt bij dat het effect van een lek heel groot kan zijn omdat dit vaak de producten van zeer veel leveranciers raakt.

IoT-keurmerken

Wereldwijd komt er nu wel enige discussie op gang over de benodigde wetgeving. Zo heeft de Europese Commissie onlangs besloten dat  Internet of Things (IoT)-apparaten een eigen plek krijgen onder het CE-keurmerk. Aan de hand van dat CE-keurmerk wordt gegarandeerd dat de apparatuur aan bepaalde eisen op het gebied van cybersecurity gaan voldoen. 

De VS besloot  vorig jaar dat leveranciers van IoT-producten aan de Amerikaanse overheid aan wettelijke eisen moeten voldoen op het gebied van patchen en identiteitsbeheer.

1
Reacties
Ruud Schmeitz 19 augustus 2021 10:55

"een sofware development kit"

Die is leuk : software met een kritiek lek = sofware !
:-)

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.