Erik Barzdukas

**Nome do software vulnerável e versões afetadas** ThroughTek Kalay Platform versão 2.0 ThroughTek Kalay P2P SDK (versões afetadas não especificadas) **Descrição** O problema está relacionado ao contorno da autenticação por meio de spoofing, permitindo que um invasor remoto comprometa dispositivos IoT e obtenha acesso não autorizado a informações protegidas. Um invasor pode se passar por um dispositivo ThroughTek (TUTK) arbitrário, desde que possua um identificador único (UID) válido de 20 bytes, o que pode resultar no sequestro da conexão da vítima e forçá-la a fornecer as credenciais necessárias para acessar o dispositivo TUTK da vítima. Estima-se que 83 milhões de dispositivos conectados à rede Kalay estejam em risco. A vulnerabilidade pode ser explorada para obter acesso a streaming de vídeo e áudio, comprometer redes domésticas e credenciais, e criar botnets a partir de dispositivos comprometidos. **Recomendações** Para a plataforma ThroughTek Kalay versão 2.0, atualize para a versão mais recente, Kalay 3.1.10, para resolver o problema. Para o ThroughTek Kalay P2P SDK, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.