1.媒體來源:
iThome
2.記者署名:
文/陳曉莉｜2021-08-18發表
3.完整新聞標題:
物聯智慧Kalay平臺含有重大漏洞，將允許駭客自遠端存取IoT裝置
4.完整新聞內文:
美國國土安全部旗下的網路安全暨基礎架構安全署（CISA）與資安業者FireEye本周警告
，臺灣IoT平臺業者物聯智慧（ThroughTek）所打造的Kalay P2P SDK含有一重大安全漏洞
CVE-2021-28372，將允許駭客自遠端執行任意程式或存取機密資訊，而物聯智慧則已修補
該漏洞，並呼籲用戶儘快更新。
https://i.imgur.com/idkJ2x8.jpg
根據物聯智慧的說明，Kalay為一奠基於P2P技術的基礎架構，具備多種模組化功能，還能
根據客戶需求進行客製化，亦能以SDK形式嵌入應用程式或IoT裝置。
FireEye指出，CVE-2021-28372藏匿在Kalay平臺的一個核心元件中，駭客必須非常熟悉Ka
lay協定，並具備產生及傳送訊息的能力，也必須先取得Kalay的用戶ID（UID）才能發動
攻擊，進一步危害相關UID的裝置。CISA則說，成功開採漏洞將允許駭客執行惡意程式或
存取機密資訊，包括攝影機的音訊與視訊。其CVSS風險指數高達9.6。
研究人員表示，他們並不確定有多少裝置受到該漏洞的影響，但物聯智慧的官網顯示，全
球有超過8,300萬個裝置採用Kalay平臺。
受到波及的Kalay P2P SDK包括3.1.5與之前的版本，擁有nossl標籤的SDK，在IOTC連線時
未使用AuthKey的裝置韌體，採用AVAPI模組卻未啟用DTLS機制的韌體，以及採用RDT模組
或P2PTunnel的韌體。
迄今尚未發現任何鎖定該漏洞的攻擊程式，物聯智慧建議用戶應立即更新。
此外，在兩個月前，CISA也曾警告該公司SDK含有CVE-2021-32934漏洞，當時物聯智慧說
明早已於2018年釋出的SDK 3.1.10修補該漏洞，以及客戶不升級的狀況。
5.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/146258
6.備註:
中嘉合作廠商相關連結 : https://reurl.cc/bXvjn3
可以看一下跟中嘉合作廠商的連結，有在用的要注意了，記得趕快去更新吧，不然這個資
案漏洞還滿嚴重的= =