Friendoffriends
Bitfedender oppdaget nylig store personvernproblemer i IoT-kameraer som lar hackere kapre og gjøre disse enhetene til fullverdige spioneringsverktøy..
Kameraet analysert av Bitdefender brukes til overvåkingsformål av mange familier og småbedrifter. Enheten inkluderer standard overvåkingsfunksjoner, som et bevegelses- og lyddeteksjonssystem, toveis lyd, innebygd mikrofon og høyttaler, og temperatur- og fuktighetssensorer.
Sikkerhetsproblemene kan lett utnyttes under tilkoblingsprosessen. IoT-kameraet oppretter et hotspot under konfigurering via et trådløst nettverk. Når den er installert, oppretter den tilsvarende mobilapplikasjonen en forbindelse med enhetens hotspot og kobles automatisk til den. Appbrukeren introduserer deretter legitimasjonen og installasjonsprosessen er fullført.
Problemet er at hotspot er åpent og ingen passord kreves. Videre er ikke dataene som sirkulerer mellom mobilapplikasjonen, IoT-kameraet og serveren kryptert. Og for å gjøre ting verre, oppdaget Bitdefender også at nettverkslegitimasjonen sendes i ren tekst fra mobilappen til kameraet.
Når mobilappen kobles eksternt til enheten, utenfor det lokale nettverket, autentiseres den gjennom en sikkerhetsmekanisme kjent som Basic Access Authentication. I henhold til dagens sikkerhetsstandarder anses dette som en usikker autentiseringsmetode, med mindre den brukes sammen med et eksternt sikkert system som SSL. Brukernavn og passord sendes over ledning i ukryptert format, kodet med en Base64-ordning under transport.
Som et resultat kan en angriper utgi seg for den ekte enheten ved å registrere en annen enhet, med samme MAC-adresse. Serveren vil koble seg til enheten som registrerte sist, og det samme vil mobilappen. På denne måten kan angripere fange passordet til webkameraet.
Alle kan bruke appen, akkurat som brukeren ville. Dette betyr at du slår på lyd, mikrofon og høyttalere for å kommunisere med barn mens foreldrene ikke er i nærheten eller har uforstyrret tilgang til sanntidsopptak fra barnas soverom. Dette er tydeligvis en ekstremt invasiv enhet, og dens kompromiss fører til skumle konsekvenser.
For å unngå brudd på personvern, må du gjøre grundige undersøkelser før du kjøper en IoT-enhet og lese online vurderinger som kan avsløre personvernproblemer. For det andre, installer et cybersecurity-verktøy for IoT-er, for eksempel Bitdefender's Box. Disse verktøyene vil skanne nettverket og blokkere phishing-angrep og andre trusler.
