Bitfedender wykrył ostatnio poważne luki w zabezpieczeniach kamer IoT, które pozwalają hakerom na przechwycenie i przekształcenie tych urządzeń w pełnoprawne narzędzia szpiegowskie.

Kamera analizowana przez Bitdefender jest używana do monitorowania przez wiele rodzin i małych firm. Urządzenie zawiera standardowe funkcje monitorowania, takie jak system wykrywania ruchu i dźwięku, dwukierunkowy dźwięk, wbudowany mikrofon i głośnik oraz czujniki temperatury i wilgotności.

Luki w zabezpieczeniach można łatwo wykorzystać podczas procesu połączenia. Kamera IoT tworzy punkt dostępu podczas konfiguracji za pośrednictwem sieci bezprzewodowej. Po zainstalowaniu odpowiednia aplikacja mobilna ustanawia połączenie z hotspotem urządzenia i łączy się z nim automatycznie. Następnie użytkownik aplikacji wprowadza poświadczenia i proces instalacji jest zakończony.

Problem polega na tym, że punkt dostępu jest otwarty i hasło nie jest wymagane. Ponadto dane krążące między aplikacją mobilną, kamerą IoT i serwerem nie są szyfrowane. Co gorsza, Bitdefender wykrył również, że poświadczenia sieciowe są wysyłane zwykłym tekstem z aplikacji mobilnej do kamery.

Gdy aplikacja mobilna łączy się zdalnie z urządzeniem, spoza sieci lokalnej, uwierzytelnia się poprzez mechanizm bezpieczeństwa znany jako Basic Access Authentication. Według dzisiejszych standardów bezpieczeństwa jest to uważane za niezabezpieczoną metodę uwierzytelniania, chyba że jest używana w połączeniu z zewnętrznym bezpiecznym systemem, takim jak SSL. Nazwy użytkowników i hasła są przekazywane przewodowo w niezaszyfrowanym formacie, zakodowanym w tranzycie według schematu Base64.

W rezultacie osoba atakująca może podszyć się pod oryginalne urządzenie, rejestrując inne urządzenie o tym samym adresie MAC. Serwer połączy się z ostatnio zarejestrowanym urządzeniem, podobnie jak aplikacja mobilna. W ten sposób osoby atakujące mogą przechwycić hasło kamery internetowej.

Każdy może korzystać z aplikacji, tak jak użytkownik. Oznacza to włączenie dźwięku, mikrofonu i głośników, aby komunikować się z dziećmi, gdy rodziców nie ma w pobliżu, lub mieć niezakłócony dostęp do nagrań w czasie rzeczywistym z sypialni dzieci. Oczywiście jest to niezwykle inwazyjne urządzenie, a jego kompromis prowadzi do przerażających konsekwencji.

Aby uniknąć naruszenia prywatności, przed zakupem urządzenia IoT dokładnie zbadaj i przeczytaj recenzje online, które mogą ujawnić problemy z prywatnością. Po drugie, zainstaluj narzędzie cyberbezpieczeństwa dla IoT, takie jak Bitdefender's Box. Narzędzia te skanują sieć i blokują ataki phishingowe oraz inne zagrożenia.