周一，一名研究人員報告稱，一個幾乎被所有物聯網設備使用的協議漏洞使數百萬用戶面臨潛在的攻擊。故障集中在通用即插即用協議上，該協議實施了12年，簡化了計算機、打印機、移動設備和Wi-Fi接入點等網絡設備之間的連接。

報告指出，從理論上講，數以億計的設備都是易受攻擊的，但目前只有那些激活了“通用即插即用”的設備才面臨被攻擊的風險。

土耳其安全工程師Yunus Cadirci發現了一個名為CallStranger的通用即插即用漏洞，這個漏洞可以被用來訪問任何智能設備，比如連接到互聯網的安全攝像頭、打印機和路由器。一旦獲得訪問權限，惡意代碼可以通過網絡防火墻和其他安全防御系統發送，并到達內部數據庫。

這個漏洞還允許攻擊者偷偷地聚集大量的設備來進行拒絕服務攻擊，這些攻擊用流量淹沒目標、阻塞合法流量、淹沒處理資源并導致系統崩潰。

Cadirci經營著一個網站，專門提供關于CallStranger漏洞的信息。去年晚些時候，他第一次發現了這個問題，并通知了開放連接基金會，后者已經更新了通用即插即用規范來解決這個問題。供應商和互聯網服務供應商要求在他們有時間解決這個問題之前暫不發布漏洞通知。

“因為這是一個協議漏洞，供應商可能需要很長時間才能提供補丁，”Cadirci在他的報告中說。由于一些制造商還沒有糾正這個問題，而且許多物聯網設備從未收到更新，消費者應該聯系他們使用的通用即插即用設備的制造商，以確定是否有軟件或硬件補丁可用。

眾所周知，通用即插即用很容易讓用戶受到攻擊。2013年的一項研究項目證實，超過8100萬部本應在本地網絡中受到保護的設備，實際上在這些網絡之外，潛在的惡意行為者可以看到它們。

“我們認為數據泄露是呼叫陌生人的最大風險，”Cadirci說。檢查日志是至關重要的，如果任何威脅參與者在過去使用這個。因為它也可以用于分布式拒絕服務請求，我們預計僵尸網絡將開始通過消費終端用戶設備來實現這種新技術。”

安全專家建議用戶在不需要聯網的設備上禁用通用即插即用。路由器通常通過取消“設置”菜單中的復選框來禁用“通用即插即用”。

Cadirci測試并確認了數十種設備的漏洞，包括微軟、華碩、博通、思科、D-Link、愛普生、惠普、華為、NEC、飛利浦和三星。

Cadirci解釋說，攻擊者使用通用即插即用的訂閱功能來傳輸TCP包，這些包帶有被操縱的回調頭值。這使得入侵者能夠接入與互聯網持續連接的設備。