Bitfedender opdagede for nylig store privatlivssårbarheder i IoT-kameraer, der gør det muligt for hackere at kapre og gøre disse enheder til fuldgyldige spioneringsværktøjer.
Kameraet analyseret af Bitdefender bruges til overvågningsformål af mange familier og små virksomheder. Enheden inkluderer standardovervågningsfunktioner, såsom et bevægelses- og lyddetekteringssystem, tovejslyd, indbygget mikrofon og højttaler og temperatur- og fugtighedssensorer.
Sikkerhedssårbarhederne kan let udnyttes under forbindelsesprocessen. IoT-kameraet opretter et hotspot under konfiguration via et trådløst netværk. Når den er installeret, opretter den tilsvarende mobilapplikation en forbindelse til enhedens hotspot og opretter automatisk forbindelse til den. Appbrugeren introducerer derefter legitimationsoplysningerne, og installationsprocessen er afsluttet.
Problemet er, at hotspot er åbent, og ingen adgangskode kræves. Desuden er de data, der cirkulerer mellem mobilapplikationen, IoT-kameraet og serveren ikke krypteret. Og for at gøre tingene værre opdagede Bitdefender også, at netværksoplysningerne sendes i almindelig tekst fra mobilappen til kameraet.
Når mobilappen opretter forbindelse til enheden uden for det lokale netværk, godkendes den via en sikkerhedsmekanisme kendt som en grundlæggende adgangsgodkendelse. I henhold til nutidens sikkerhedsstandarder betragtes dette som en usikker godkendelsesmetode, medmindre den bruges sammen med et eksternt sikkert system som SSL. Brugernavne og adgangskoder sendes over ledningen i et ukrypteret format, kodet med en Base64-ordning under transit.
Som et resultat kan en hacker efterligne den ægte enhed ved at registrere en anden enhed med den samme MAC-adresse. Serveren opretter forbindelse til den enhed, der sidst blev registreret, og det samme gør mobilappen. På denne måde kan angribere fange adgangskoden til webkameraet.
Alle kan bruge appen, ligesom brugeren ville. Det betyder, at du tænder for lyd, mikrofon og højttalere for at kommunikere med børn, mens forældre ikke er i nærheden eller har uforstyrret adgang til realtidsoptagelser fra dine børns soveværelse. Det er klart, at dette er en ekstremt invasiv enhed, og dens kompromis fører til skræmmende konsekvenser.
For at undgå krænkelser af privatlivets fred skal du foretage en grundig undersøgelse, inden du køber en IoT-enhed og læse online anmeldelser, der kan afsløre problemer med privatlivets fred. For det andet skal du installere et cybersikkerhedsværktøj til IoT'er, såsom Bitdefender's Box. Disse værktøjer scanner netværket og blokerer phishing-angreb og andre trusler.