Bitfedender a récemment détecté des vulnérabilités majeures en matière de confidentialité dans les caméras IoT qui permettent aux pirates de détourner et de transformer ces appareils en outils d'espionnage à part entière.
La caméra analysée par Bitdefender est utilisé à des fins de surveillance par de nombreuses familles et petites entreprises. L'appareil comprend des fonctions de surveillance standard, telles qu'un système de détection de mouvement et de son, un système audio bidirectionnel, un microphone et un haut-parleur intégrés, ainsi que des capteurs de température et d'humidité.
Les vulnérabilités de sécurité peuvent facilement être exploitées pendant le processus de connexion. La caméra IoT crée un hotspot lors de la configuration via un réseau sans fil. Une fois installée, l'application mobile correspondante établit une connexion avec le hotspot de l'appareil et s'y connecte automatiquement. L'utilisateur de l'application introduit ensuite les informations d'identification et le processus de configuration est terminé.
Le problème est que le hotspot est ouvert et qu'aucun mot de passe n'est requis. De plus, les données circulant entre l'application mobile, la caméra IoT et le serveur ne sont pas cryptées. Et pour empirer les choses, Bitdefender a également détecté que les informations d'identification du réseau sont envoyées en texte clair de l'application mobile à la caméra.
Lorsque l'application mobile se connecte à distance à l'appareil, depuis l'extérieur du réseau local, elle s'authentifie via un mécanisme de sécurité appelé authentification d'accès de base. Selon les normes de sécurité actuelles, cela est considéré comme une méthode d'authentification non sécurisée, à moins qu'elle ne soit utilisée en conjonction avec un système sécurisé externe tel que SSL. Les noms d'utilisateur et les mots de passe sont transmis par fil dans un format non crypté, encodé avec un schéma Base64 en transit.
Par conséquent, un attaquant peut usurper l'identité de l'appareil authentique en enregistrant un autre appareil, avec la même adresse MAC. Le serveur se connectera au dernier appareil enregistré, de même que l'application mobile. De cette manière, les attaquants peuvent capturer le mot de passe de la webcam.
Tout le monde peut utiliser l'application, tout comme l'utilisateur le ferait. Cela signifie activer l'audio, le micro et les haut-parleurs pour communiquer avec les enfants pendant que les parents ne sont pas là ou avoir un accès non dérangé aux images en temps réel de la chambre de vos enfants. De toute évidence, il s'agit d'un dispositif extrêmement invasif et sa compromission entraîne des conséquences effrayantes.
Afin d'éviter les atteintes à la vie privée, effectuez une recherche approfondie avant d'acheter un Appareil IoT et lisez les critiques en ligne qui peuvent révéler des problèmes de confidentialité. Deuxièmement, installez un outil de cybersécurité pour les IoT, tel que Boîte de Bitdefender. Ces outils analyseront le réseau et bloqueront les attaques de phishing et autres menaces.
HISTOIRES CONNEXES QUE VOUS DEVEZ VÉRIFIER :
- Programmez un Raspberry Pi depuis votre navigateur avec Windows 10 IoT Core Blockly
- Câblage Arduino pris en charge sur Windows 10 IoT Core
- L'application Windows 10 IoT prend en charge les imprimantes 3D en réseau
