Bitfedender ontdekte onlangs grote privacykwetsbaarheden in IoT-camera's waarmee hackers deze apparaten kunnen kapen en veranderen in volwaardige spionagetools.
De camera geanalyseerd door Bitdefender wordt door veel gezinnen en kleine bedrijven gebruikt voor monitoringdoeleinden. Het apparaat bevat standaard bewakingsfuncties, zoals een bewegings- en geluidsdetectiesysteem, tweerichtingsaudio, ingebouwde microfoon en luidspreker, en temperatuur- en vochtigheidssensoren.
De beveiligingsproblemen kunnen gemakkelijk worden misbruikt tijdens het verbindingsproces. De IoT-camera creëert een hotspot tijdens de configuratie via een draadloos netwerk. Na installatie maakt de bijbehorende mobiele applicatie een verbinding met de hotspot van het apparaat en maakt er automatisch verbinding mee. De app-gebruiker voert vervolgens de inloggegevens in en het installatieproces is voltooid.
Het probleem is dat de hotspot open is en dat er geen wachtwoord nodig is. Bovendien zijn de gegevens die tussen de mobiele applicatie, de IoT-camera en de server circuleren niet versleuteld. En om het nog erger te maken,
Bitdefender heeft ook gedetecteerd dat de netwerkreferenties in platte tekst van de mobiele app naar de camera worden verzonden.Wanneer de mobiele app op afstand verbinding maakt met het apparaat, van buiten het lokale netwerk, wordt geverifieerd via een beveiligingsmechanisme dat bekend staat als Basic Access Authentication. Volgens de huidige beveiligingsnormen wordt dit beschouwd als een onveilige authenticatiemethode, tenzij gebruikt in combinatie met een extern beveiligd systeem zoals SSL. Gebruikersnamen en wachtwoorden worden via een kabel doorgegeven in een niet-versleuteld formaat, gecodeerd met een Base64-schema in transit.
Als gevolg hiervan kan een aanvaller zich voordoen als het echte apparaat door een ander apparaat met hetzelfde MAC-adres te registreren. De server maakt verbinding met het apparaat dat het laatst is geregistreerd, en dat geldt ook voor de mobiele app. Op deze manier kunnen aanvallers het wachtwoord van de webcam achterhalen.
Iedereen kan de app gebruiken, net zoals de gebruiker dat zou doen. Dit betekent dat je audio, microfoon en luidsprekers moet inschakelen om met kinderen te communiceren terwijl ouders niet in de buurt zijn of ongestoord toegang hebben tot realtime beelden van de slaapkamer van je kinderen. Het is duidelijk dat dit een extreem invasief apparaat is en het compromis leidt tot enge gevolgen.
Om inbreuken op de privacy te voorkomen, moet u grondig onderzoek doen voordat u een IoT-apparaat en lees online beoordelingen die privacyproblemen kunnen onthullen. Installeer ten tweede een cyberbeveiligingstool voor IoT's, zoals: Bitdefender's Box. Deze tools scannen het netwerk en blokkeren phishing-aanvallen en andere bedreigingen.
VERWANTE VERHALEN DIE JE MOET BEKIJKEN:
- Programmeer een Raspberry Pi vanuit uw browser met Windows 10 IoT Core Blockly
- Arduino-bedrading ondersteund op Windows 10 IoT Core
- Windows 10 IoT-app biedt ondersteuning voor 3D-printers in een netwerk
