Bitfedender недавно обнаружил серьезные уязвимости конфиденциальности в камерах Интернета вещей, которые позволяют хакерам захватить и превратить эти устройства в полноценные инструменты шпионажа.
Камера проанализирована Bitdefender используется для целей мониторинга многими семьями и малыми предприятиями. Устройство включает стандартные функции мониторинга, такие как система обнаружения движения и звука, двусторонняя аудиосвязь, встроенный микрофон и динамик, а также датчики температуры и влажности.
Уязвимости в системе безопасности можно легко использовать в процессе подключения. IoT-камера создает точку доступа во время настройки через беспроводную сеть. После установки соответствующее мобильное приложение устанавливает соединение с точкой доступа устройства и подключается к ней автоматически. Затем пользователь приложения вводит учетные данные, и процесс настройки завершается.
Проблема в том, что точка доступа открыта и пароль не требуется. Более того, данные, передаваемые между мобильным приложением, камерой IoT и сервером, не зашифрованы. И что еще хуже,
Bitdefender также обнаружил, что сетевые учетные данные отправляются в виде обычного текста из мобильного приложения на камеру.Когда мобильное приложение удаленно подключается к устройству из-за пределов локальной сети, оно проходит проверку подлинности с помощью механизма безопасности, известного как проверка подлинности базового доступа. По сегодняшним стандартам безопасности это считается небезопасным методом аутентификации, если только он не используется вместе с внешней системой безопасности, такой как SSL. Имена пользователей и пароли передаются по проводам в незашифрованном формате, закодированные по схеме Base64 при передаче.
В результате злоумышленник может выдать себя за настоящее устройство, зарегистрировав другое устройство с тем же MAC-адресом. Сервер подключится к устройству, которое зарегистрировалось последним, и мобильное приложение тоже. Таким образом злоумышленники могут перехватить пароль веб-камеры.
Любой желающий может использовать приложение, как и пользователь. Это означает включение звука, микрофона и динамиков, чтобы общаться с детьми, пока родителей нет рядом, или иметь беспрепятственный доступ к видеозаписи в реальном времени из детской спальни. Понятно, что это чрезвычайно инвазивное устройство, и его компрометация приводит к страшным последствиям.
Чтобы избежать нарушения конфиденциальности, проведите тщательное исследование перед покупкой IoT устройство и читайте онлайн-обзоры, которые могут выявить проблемы с конфиденциальностью. Во-вторых, установите инструмент кибербезопасности для Интернета вещей, например Коробка Bitdefender. Эти инструменты будут сканировать сеть и блокировать фишинговые атаки и другие угрозы.
СВЯЗАННЫЕ ИСТОРИИ, КОТОРЫЕ НЕОБХОДИМО ВЫБРАТЬ:
- Запрограммируйте Raspberry Pi из своего браузера с помощью Windows 10 IoT Core Blockly
- Подключение Arduino поддерживается в Windows 10 IoT Core
- Приложение Windows 10 IoT обеспечивает поддержку сетевых 3D-принтеров
