A Bitfedender a közelmúltban észlelte az IoT-kamerák jelentős adatvédelmi sérülékenységeit, amelyek lehetővé teszik a hackerek eltérítését, és ezeket az eszközöket teljes értékű kémkedés eszközekké alakítják.

A Bitdefender által elemzett kamerát sok család és kisvállalkozás használja megfigyelési célokra. A készülék standard ellenőrző funkciókkal rendelkezik, mint például mozgás- és hangérzékelő rendszer, kétutas audio, beépített mikrofon és hangszóró, valamint hőmérséklet- és páratartalom-érzékelők.

A biztonsági réseket könnyen ki lehet használni a csatlakozási folyamat során. Az IoT-kamera hotspotot hoz létre a konfigurálás során vezeték nélküli hálózaton keresztül. A telepítés után a megfelelő mobilalkalmazás kapcsolatot létesít az eszköz hotspotjával, és automatikusan csatlakozik ehhez. Az alkalmazás felhasználó ezután bemutatja a hitelesítő adatokat, és a telepítési folyamat befejeződött.

A probléma az, hogy a hotspot nyitva van, és nincs szükség jelszóra. Ráadásul a mobil alkalmazás, az IoT kamera és a szerver között keringő adatok nem vannak titkosítva. És ami még rosszabb, a Bitdefender azt is észlelte, hogy a hálózati hitelesítő adatokat szöveges formában küldik el a mobilalkalmazástól a kamera felé.

Amikor a mobilalkalmazás távolról csatlakozik az eszközhöz, a helyi hálózaton kívülről, akkor egy alapvető hozzáférési hitelesítésnek nevezett biztonsági mechanizmuson keresztül hitelesíti magát. A mai biztonsági előírások szerint ezt a hitelesítés nem biztonságos módszerének tekintik, kivéve, ha egy külső biztonságos rendszerrel, például az SSL-vel együtt használják. A felhasználóneveket és a jelszavakat titkosítatlan formátumban továbbítják a huzalon keresztül, kódolva egy átviteli alapon lévő Base64 sémával.

Ennek eredményeként egy támadó személyesíthet az eredeti eszközzel, regisztrálva egy másik eszközt, ugyanazzal a MAC címmel. A szerver csatlakozik az utoljára regisztrált eszközzel, és így lesz a mobilalkalmazás. Ilyen módon a támadók elfoghatják a webkamera jelszavát.

Bárki használhatja az alkalmazást, akárcsak a felhasználó. Ez azt jelenti, hogy be kell kapcsolni az audio-, mikrofon- és hangszórókat, hogy kommunikálni lehessen a gyerekekkel, amíg a szülők nincsenek körül, vagy zavartalanul férhetnek hozzá a gyerekek hálószobájából származó valós idejű felvételekhez. Nyilvánvaló, hogy ez egy rendkívül invazív eszköz, és kompromisszuma félelmetes következményekhez vezet.

A magánélet megsértésének elkerülése érdekében alapos kutatást végezzen az IoT eszköz vásárlása előtt, és olvassa el az online áttekintéseket, amelyek felfedhetik az adatvédelmi problémákat. Másodszor, telepítsen egy kiberbiztonsági eszközt az IoT-k számára, például a Bitdefender's Box. Ezek az eszközök átvizsgálják a hálózatot, és blokkolják az adathalász támadásokat és egyéb fenyegetéseket.