A Bitfedender nemrégiben olyan nagy adatvédelmi sérülékenységeket fedezett fel az IoT kamerákban, amelyek lehetővé teszik a hackerek számára, hogy eltérítsék ezeket az eszközöket és teljes értékű kémeszközökké változtassák őket.
A kamerát elemezte Bitdefender sok család és kisvállalkozás ellenőrzési célokra használja. A készülék standard felügyeleti funkciókat tartalmaz, például mozgás- és hangérzékelő rendszert, kétirányú hangot, beépített mikrofont és hangszórót, valamint hőmérséklet- és páratartalom-érzékelőket.
A biztonsági rések könnyen kihasználhatók a csatlakozási folyamat során. Az IoT kamera hotspotot hoz létre a konfigurálás során egy vezeték nélküli hálózaton keresztül. A telepítés után a megfelelő mobilalkalmazás kapcsolatot létesít az eszköz hotspotjával, és automatikusan csatlakozik hozzá. Ezután az alkalmazás felhasználó bevezeti a hitelesítő adatokat, és a telepítési folyamat befejeződött.
A probléma az, hogy a hotspot nyitva van, és nincs szükség jelszóra. Ezenkívül a mobil alkalmazás, az IoT kamera és a szerver között keringő adatok nincsenek titkosítva. És hogy még rosszabb legyen a helyzet,
Bitdefender azt is észlelte, hogy a hálózati hitelesítő adatokat egyszerű szövegben küldik a mobilalkalmazásból a kamerába.Amikor a mobilalkalmazás távolról csatlakozik az eszközhöz, a helyi hálózaton kívülről, az alapelérési hitelesítés néven ismert biztonsági mechanizmus révén hitelesít. A mai biztonsági előírások szerint ez nem biztonságos hitelesítési módnak tekinthető, hacsak nem egy külső biztonságos rendszerrel, például az SSL-lel együtt használják. A felhasználónéveket és jelszavakat vezeték nélkül továbbítják titkosítatlan formátumban, a szállítás közben lévő Base64 sémával kódolva.
Ennek eredményeként a támadó megszemélyesítheti az eredeti eszközt egy másik eszköz regisztrálásával, ugyanazzal a MAC-címmel. A szerver csatlakozik az eszközhöz, amely utoljára regisztrált, és a mobilalkalmazás is. Ily módon a támadók elfoghatják a webkamera jelszavát.
Bárki használhatja az alkalmazást, akárcsak a felhasználó. Ez azt jelenti, hogy be kell kapcsolni az audio, a mikrofont és a hangszórókat a gyerekekkel való kommunikációhoz, miközben a szülők nincsenek a közelben, vagy zavartalanul hozzáférhetnek a gyerekek hálószobájának valós idejű felvételeihez. Nyilvánvaló, hogy ez egy rendkívül invazív eszköz, és kompromisszuma félelmetes következményekhez vezet.
A magánélet megsértésének elkerülése érdekében végezzen alapos kutatást a vásárlás előtt IoT eszköz és olvassa el az online véleményeket, amelyek adatvédelmi problémákat tárhatnak fel. Másodszor telepítsen egy kiberbiztonsági eszközt az IoT-khez, mint pl Bitdefender doboza. Ezek az eszközök ellenőrzik a hálózatot, és blokkolják az adathalász támadásokat és egyéb fenyegetéseket.
KAPCSOLÓDÓ TÖRTÉNETEK, AMELYEKET ELLENŐRZNI KELL:
- Programozjon egy Raspberry Pi-t böngészőjéből a Windows 10 IoT Core Blockly programmal
- Az Arduino vezetékezése támogatott a Windows 10 IoT Core rendszeren
- A Windows 10 IoT alkalmazás támogatja a hálózatba kapcsolt 3D nyomtatókat
