Bitfedender havaitsi äskettäin suuret yksityisyyden haavoittuvuudet IoT-kameroissa, jotka sallivat hakkereiden kaapata ja muuttaa nämä laitteet täysimittaisiksi vakoilutyökaluiksi.
Kamera analysoi Bitdefender käytetään monien perheiden ja pienten yritysten seurantatarkoituksiin. Laite sisältää vakio-valvontaominaisuudet, kuten liike- ja äänentunnistusjärjestelmän, kaksisuuntaisen äänen, sisäänrakennetun mikrofonin ja kaiuttimen sekä lämpötila- ja kosteusanturit.
Tietoturva-aukkoja voidaan helposti hyödyntää yhteysprosessin aikana. IoT-kamera luo hotspotin määrityksen aikana langattoman verkon kautta. Asennuksen jälkeen vastaava mobiilisovellus muodostaa yhteyden laitteen hotspotiin ja muodostaa yhteyden siihen automaattisesti. Sitten sovelluksen käyttäjä esittelee kirjautumistiedot ja asennus on valmis.
Ongelmana on, että hotspot on auki eikä salasanaa tarvita. Lisäksi mobiilisovelluksen, IoT-kameran ja palvelimen välillä kiertävää dataa ei salata. Ja pahentamaan asioita Bitdefender havaitsi myös, että verkon tunnistetiedot lähetetään tekstimuodossa mobiilisovelluksesta kameraan.
Kun mobiilisovellus muodostaa yhteyden laitteeseen etäyhteyden kautta lähiverkon ulkopuolelta, se todennetaan suojausmekanismin avulla, joka tunnetaan nimellä Basic Access Authentication. Nykyisten turvallisuusstandardien mukaan tätä pidetään epävarmana todennusmenetelmänä, ellei sitä käytetä ulkoisen suojatun järjestelmän, kuten SSL: n, kanssa. Käyttäjätunnukset ja salasanat välitetään langan kautta salaamattomassa muodossa, koodattu Base64-kaavalla.
Tämän seurauksena hyökkääjä voi esiintyä toisena henkilönä rekisteröimällä toisen laitteen, jolla on sama MAC-osoite. Palvelin muodostaa yhteyden viimeksi rekisteröityneeseen laitteeseen, samoin mobiilisovellus. Tällä tavoin hyökkääjät voivat kaapata verkkokameran salasanan.
Kuka tahansa voi käyttää sovellusta samalla tavalla kuin käyttäjä. Tämä tarkoittaa äänen, mikrofonin ja kaiuttimien kytkemistä päälle kommunikoida lasten kanssa, kun vanhemmat eivät ole läsnä tai heillä on häiriötön pääsy reaaliaikaiseen kuvamateriaaliin lastesi makuuhuoneesta. Tämä on selvästikin erittäin invasiivinen laite, ja sen kompromissi johtaa pelottaviin seurauksiin.
Yksityisyyden loukkausten välttämiseksi tee perusteellinen tutkimus ennen kuin ostat IoT-laite ja lukea online-arvosteluja, jotka saattavat paljastaa yksityisyyttä koskevia kysymyksiä. Toiseksi asenna kyberturvallisuustyökalu esineiden internetiin, kuten Bitdefenderin laatikko. Nämä työkalut tarkistavat verkon ja estävät tietojenkalasteluhyökkäykset ja muut uhat.
Aiheeseen liittyvät tarinat, jotka sinun on tarkistettava:
- Ohjelmoi Raspberry Pi selaimeltasi Windows 10 IoT Core Blockly -ohjelmalla
- Arduino Wiring tukee Windows 10 IoT Core -sovellusta
- Windows 10 IoT -sovellus tukee verkkoon liitettyjä 3D-tulostimia