Bitfedender nedávno zjistil hlavní chyby zabezpečení soukromí v IoT kamerách, které umožňují hackerům únos a přeměnu těchto zařízení na plnohodnotné špionážní nástroje.
Fotoaparát analyzoval Bitdefender se používá pro účely monitorování mnoha rodin a malých podniků. Zařízení obsahuje standardní monitorovací funkce, jako je systém detekce pohybu a zvuku, obousměrný zvuk, vestavěný mikrofon a reproduktor a snímače teploty a vlhkosti.
Chyby zabezpečení lze snadno zneužít během procesu připojení. Kamera IoT vytváří hotspot během konfigurace prostřednictvím bezdrátové sítě. Po instalaci vytvoří příslušná mobilní aplikace spojení s hotspotem zařízení a připojí se k němu automaticky. Uživatel aplikace poté představí pověření a proces instalace je dokončen.
Problém je v tom, že hotspot je otevřený a není vyžadováno žádné heslo. Data cirkulující mezi mobilní aplikací, kamerou IoT a serverem navíc nejsou šifrována. A aby toho nebylo málo, Bitdefender také zjistil, že síťová pověření jsou z mobilní aplikace do kamery odesílána jako prostý text.
Když se mobilní aplikace připojuje vzdáleně k zařízení, zvenčí místní sítě, ověřuje se pomocí mechanismu zabezpečení známého jako Základní ověřování přístupu. Podle dnešních bezpečnostních standardů je to považováno za nezabezpečenou metodu ověřování, pokud se nepoužívá ve spojení s externím zabezpečeným systémem, jako je SSL. Uživatelská jména a hesla jsou předávána po drátě v nezašifrovaném formátu, kódovaná během přenosu schématem Base64.
Výsledkem je, že se útočník může vydávat za skutečné zařízení registrací jiného zařízení se stejnou adresou MAC. Server se připojí k zařízení, které se zaregistrovalo jako poslední, a také mobilní aplikace. Tímto způsobem mohou útočníci zachytit heslo webové kamery.
Aplikaci může používat kdokoli stejně jako uživatel. To znamená zapnout zvuk, mikrofon a reproduktory, aby mohli komunikovat s dětmi, zatímco rodiče nejsou poblíž nebo mají nerušený přístup k záznamům z ložnice vašich dětí v reálném čase. Je zřejmé, že se jedná o extrémně invazivní zařízení a jeho kompromis vede k děsivým následkům.
Abyste se vyhnuli narušení soukromí, proveďte před nákupem důkladný průzkum Zařízení IoT a číst online recenze, které mohou odhalit problémy s ochranou soukromí. Za druhé, nainstalujte nástroj kybernetické bezpečnosti pro IoT, jako je Bitdefender's Box. Tyto nástroje prohledají síť a zablokují phishingové útoky a další hrozby.
SOUVISEJÍCÍ PŘÍBĚHY, KTERÉ POTŘEBUJETE KONTROLA:
- Naprogramujte Raspberry Pi z vašeho prohlížeče s Windows 10 IoT Core Blockly
- Arduino Wiring podporován v systému Windows 10 IoT Core
- Aplikace Windows 10 IoT přináší podporu pro síťové 3D tiskárny
