Friendoffriends
Bitfedender niedawno wykrył poważne luki w zabezpieczeniach prywatności w kamerach IoT, które umożliwiają hakerom przechwytywanie i przekształcanie tych urządzeń w pełnoprawne narzędzia szpiegowskie.
Kamera analizowana przez Bitdefender jest używana do celów monitorowania przez wiele rodzin i małych firm. Urządzenie zawiera standardowe funkcje monitorowania, takie jak system wykrywania ruchu i dźwięku, dwukierunkowy dźwięk, wbudowany mikrofon i głośnik oraz czujniki temperatury i wilgotności.
Luki w zabezpieczeniach można łatwo wykorzystać podczas procesu łączenia. Kamera IoT tworzy hotspot podczas konfiguracji za pośrednictwem sieci bezprzewodowej. Po zainstalowaniu odpowiednia aplikacja mobilna nawiązuje połączenie z hotspotem urządzenia i łączy się z nim automatycznie. Następnie użytkownik aplikacji wprowadza poświadczenia i proces konfiguracji jest zakończony.
Problem polega na tym, że hotspot jest otwarty i nie jest wymagane żadne hasło. Ponadto dane krążące między aplikacją mobilną, kamerą IoT i serwerem nie są szyfrowane. Co gorsza, Bitdefender wykrył również, że poświadczenia sieciowe są wysyłane w postaci zwykłego tekstu z aplikacji mobilnej do kamery.
Gdy aplikacja mobilna łączy się zdalnie z urządzeniem spoza sieci lokalnej, uwierzytelnia się za pomocą mechanizmu bezpieczeństwa znanego jako uwierzytelnianie dostępu podstawowego. Zgodnie z dzisiejszymi standardami bezpieczeństwa jest to uważane za niezabezpieczoną metodę uwierzytelniania, chyba że jest używana w połączeniu z zewnętrznym bezpiecznym systemem, takim jak SSL. Nazwy użytkowników i hasła są przesyłane przewodowo w niezaszyfrowanym formacie, zakodowane przy użyciu schematu Base64 podczas przesyłania.
W rezultacie osoba atakująca może podszyć się pod oryginalne urządzenie, rejestrując inne urządzenie z tym samym adresem MAC. Serwer połączy się z ostatnio zarejestrowanym urządzeniem, podobnie jak aplikacja mobilna. W ten sposób atakujący mogą przechwycić hasło do kamery internetowej.
Każdy może korzystać z aplikacji, tak jak użytkownik. Oznacza to włączenie dźwięku, mikrofonu i głośników, aby komunikować się z dziećmi, gdy rodziców nie ma w pobliżu lub mając niezakłócony dostęp do nagrań w czasie rzeczywistym z sypialni dzieci. Oczywiście jest to niezwykle inwazyjne urządzenie, a jego kompromis prowadzi do przerażających konsekwencji.
Aby uniknąć naruszenia prywatności, przed zakupem urządzenia IoT dokładnie zbadaj i przeczytaj recenzje online, które mogą ujawniać problemy z prywatnością. Po drugie, zainstaluj narzędzie cyberbezpieczeństwa dla IoT, takie jak Bitdefender's Box. Narzędzia te skanują sieć i blokują ataki phishingowe i inne zagrożenia.
