Le vulnerabilità di ThroughTek Kalay: Un campanello d’allarme per la sicurezza IoT

Nel mondo sempre più connesso dell’Internet delle Cose (IoT), la sicurezza dei dispositivi diventa una priorità assoluta. Recentemente, la piattaforma IoT ThroughTek Kalay è stata al centro dell’attenzione a causa della scoperta di gravi vulnerabilità che hanno messo a rischio la sicurezza di oltre 100 milioni di dispositivi connessi.

Bitdefender, la nota società di sicurezza informatica, ha identificato quattro vulnerabilità critiche nella piattaforma Kalay. Queste vulnerabilità, se sfruttate, avrebbero potuto permettere agli aggressori di prendere il controllo completo dei dispositivi vulnerabili, con serie conseguenze. Tali vulnerabilità sono state divulgate in modo responsabile ai fornitori interessati che hanno provveduto a sanarle celermente.

Le 4 vulnerabilità

La prima vulnerabilità, identificata come CVE-2023-6321, consentiva a un utente autenticato di eseguire comandi di sistema con privilegi di root. La seconda, CVE-2023-6322, permetteva l’accesso root attraverso una vulnerabilità di buffer overflow. La terza, CVE-2023-6323, esponeva una falla che permetteva di ottenere illecitamente la AuthKey segreta. Infine, la CVE-2023-6324 sfruttava una vulnerabilità che consentiva di dedurre la chiave pre-condivisa per una sessione DTLS.

I principali dispositivi coinvolti

Bitdefender rivela l’esame di tre dispositivi principali che utilizzano la soluzione ThroughTek Kalay: Owlet Cam v1, Wyze Cam v3 e Roku Indoor Camera SE.

Fortunatamente, ThroughTek ha agito rapidamente per risolvere le vulnerabilità e ha rilasciato gli aggiornamenti necessari. Tuttavia, questo evento serve da promemoria per tutti gli utenti di dispositivi IoT: è essenziale mantenere i propri dispositivi aggiornati con l’ultimo firmware disponibile per proteggersi dalle minacce emergenti.

Sicurezza al primo posto

La scoperta di queste vulnerabilità solleva interrogativi sulla robustezza delle misure di sicurezza implementate nei dispositivi IoT. In un’epoca in cui la privacy e la sicurezza dei dati sono di fondamentale importanza, casi come questi evidenziano che è responsabilità di tutti, dai produttori agli utenti finali, garantire che la sicurezza sia sempre al primo posto.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.