近期海外少数媒体引用美国国土安全部所属之网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency, 以下简称CISA)委托研究机构报告,指出台湾知名云平台公司物联智慧(以下简称TUTK),其客户的硬件产品因未采用正确的SDK版本,导致百万计的消费终端设备可能存在网络安全风险。 针对此报导,TUTK指出在2018年即陆续发布更新版的SDK,避免可能存在的安全漏洞,以保护客户产品的安全。经过近3年连续修补、更新软件,TUTK现行所发布的SDK版本,皆已提供更安全、更佳质量的连线软件服务。TUTK同时优化网络安全,进行环境威胁监测,以保护物联网架构环境的安全。 关于这次CISA 发布的警示,TUTK 早于今年3月即收到CISA通知,也主动协助CISA厘清受影响范围,并提出历年的具体改善措施。实际上,报告中所提采用SDK 3.1.4以前的旧版本的产品已陆续于 2018 年停产,2019年起提供给客户的SDK皆已升级为可确保安全性的 3.1.10 版本,经过近3年的持续升级及更新,TUTK现行发布的SDK,皆已提供更高的安全性以支持 DTLS 加密。 TUTK也曾发布官网公告 (http://mtw.so/61uA1I),提醒仍使用旧版SDK服务的客户,如果未升级至最新版本的SDK,TUTK无法保证其连线软件服务的安全,因此强烈建议客户升级、并密切注意TUTK发布的SDK版本信息,以确保终端消费者产品的安全与持续稳定。 在该报告中有关技术调查结果的陈述固然属实,但也坦承无法追踪个别消费者的设备是否处于安全的环境。TUTK特别指出,网络设备的使用,必须仰赖硬件制造商对硬件规格可配合采用能够进行韧体在线更新(OTA)的功能,并愿意启用DTLS,因部分硬件商碍于启用DTLS可能降低建立联机的速度,因此对升级SDK版本有所迟疑;而在终端使用者方面,则须培养良好的使用习惯,例如于初始使用设备时必须变更密码,以及接受硬件商或品牌业者建议进行韧体版本更新,才可避免将设备曝露在不安全的网络环境中。 TUTK已累积12年软件开发经验,对于CISA委托研究机构挑选其作为资安研究对象,TUTK表示肯定,因为截至今年5月份,由TUTK软件授权的物联网产品数量就高达8,300万,其中超过8成为网络摄影机,不论新产品推出或营运动态皆会成为业界关注焦点。TUTK这次与国际大品牌如日商奥姆龙、日立、三菱,德商西门子、台厂研华科技等,同样被CISA委托的研究机构挑选作为资安研究对象,代表该公司在物联网业界的实质影响力不容小觑,但若仅以旧版本SDK作为测试目标,TUTK除了遗憾之外,对于研究结果则表示尊重。 TUTK近年在安全加密的技术不断精益求精,除了获得国际 ISO 27001 信息安全认证外,为了保障客户数据安全、隐私安全,我们及时成立信息安全事件反应小组(PSIRT)负责处理产品相关的事件通报与响应,以解决网络安全问题。依据该公司公告的运营表现,TUTK在新冠肺炎疫情期间全年业绩不仅较前一年度成长超过40%,其中北美市场年度成长近8成,创下成立以来的最佳成绩!随着5G与物联网的蓬勃发展,各项设备数量爆发成长,TUTK拥有快速、安全与稳定的IoT连线质量,加上配合美CISA最新的网络安全规定,预期可以带领物联网制造商、品牌商顺利进军北美市场,这也将成为物联网市场的致胜关键,对于整体产业的发展,TUTK用积极心态拥抱物联网与不断推进网络安全规范化的发展。 向作者提问 |