„Bitfedender“ neseniai aptiko dideles IoT kamerų privatumo pažeidžiamas vietas, kurios leidžia įsilaužėliams užgrobti ir paversti šiuos įrenginius visaverčiais šnipinėjimo įrankiais.
Kamera išanalizuota „Bitdefender“ yra naudojama stebėjimo tikslais daugeliui šeimų ir mažų įmonių. Įrenginyje yra standartinės stebėjimo funkcijos, tokios kaip judesio ir garso aptikimo sistema, dvipusis garsas, įmontuotas mikrofonas ir garsiakalbis bei temperatūros ir drėgmės jutikliai.
Saugumo spragas galima lengvai išnaudoti prisijungiant. IoT kamera sukuria viešosios interneto prieigos tašką konfigūracijos metu per belaidį tinklą. Įdiegus atitinkama mobilioji programa užmezga ryšį su įrenginio viešosios interneto prieigos tašku ir prisijungia prie jo automatiškai. Tada programos vartotojas pateikia kredencialus ir sąrankos procesas yra baigtas.
Problema ta, kad viešosios interneto prieigos taškas yra atidarytas ir nereikia slaptažodžio. Be to, duomenys, judantys tarp mobiliosios programos, interneto kameros ir serverio, nėra šifruojami. Ir dar blogiau,
„Bitdefender“ taip pat nustatė, kad tinklo kredencialai iš mobiliosios programos į kamerą siunčiami paprastu tekstu.Kai mobilioji programa prisijungia prie įrenginio nuotoliniu būdu, iš vietinio tinklo ribų, ji autentifikuojasi per saugos mechanizmą, vadinamą pagrindinės prieigos autentifikavimu. Pagal dabartinius saugumo standartus tai laikoma nesaugiu autentifikavimo metodu, nebent jis naudojamas kartu su išorine saugia sistema, tokia kaip SSL. Vartotojo vardai ir slaptažodžiai perduodami per laidą nešifruotu formatu, užkoduoti perduodama „Base64“ schema.
Todėl užpuolikas gali apsimetinėti tikru įrenginiu užregistruodamas kitą įrenginį tuo pačiu MAC adresu. Serveris prisijungs prie įrenginio, kuris užregistruotas paskutinis, taip pat prisijungs ir mobilioji programa. Tokiu būdu užpuolikai gali užfiksuoti internetinės kameros slaptažodį.
Programą gali naudoti bet kas, kaip naudotojas. Tai reiškia, kad įjunkite garsą, mikrofoną ir garsiakalbius, kad galėtumėte bendrauti su vaikais, kai tėvai nėra šalia arba netrukdomai gali naudotis realaus laiko vaizdais iš jūsų vaikų miegamojo. Akivaizdu, kad tai yra itin invazinis prietaisas, o jo kompromisas sukelia baisias pasekmes.
Norėdami išvengti privatumo pažeidimų, prieš pirkdami atlikite išsamų tyrimą Daiktų interneto įrenginys ir skaitykite internetines apžvalgas, kurios gali atskleisti privatumo problemas. Antra, įdiekite interneto saugumo kibernetinio saugumo įrankį, pvz „Bitdefender's Box“. Šie įrankiai nuskaitys tinklą ir blokuos sukčiavimo išpuolius ir kitas grėsmes.
SUSIJUSIOS ISTORIJOS, KURIAS REIKIA TIKRINTI:
- Programuokite „Raspberry Pi“ iš savo naršyklės naudodami „Windows 10 IoT Core Blockly“
- „Arduino“ laidai palaikomi „Windows 10 IoT Core“
- „Windows 10 IoT“ programa palaiko tinkle esančius 3D spausdintuvus
