Bitfedender nedávno zjistil hlavní zranitelnost v oblasti soukromí u kamer IoT, která hackerům umožňuje únos a přeměňuje tato zařízení na plnohodnotné nástroje pro špionáž.

Fotoaparát analyzovaný Bitdefenderem používá pro účely monitorování mnoho rodin a malých podniků. Zařízení obsahuje standardní monitorovací funkce, jako je systém detekce pohybu a zvuku, obousměrný zvuk, vestavěný mikrofon a reproduktor a snímače teploty a vlhkosti.

Bezpečnostní chyby lze během procesu připojení snadno využít. Kamera IoT vytváří během konfigurace hotspot prostřednictvím bezdrátové sítě. Po instalaci odpovídající mobilní aplikace naváže spojení s hotspotem zařízení a připojí se k němu automaticky. Uživatel aplikace poté uvede přihlašovací údaje a proces nastavení je dokončen.

Problém je v tom, že hotspot je otevřený a není vyžadováno žádné heslo. Navíc data, která cirkulují mezi mobilní aplikací, kamerou IoT a serverem, nejsou šifrována. A co je ještě horší, Bitdefender také zjistil, že síťová pověření jsou odesílána v prostém textu z mobilní aplikace do kamery.

Když se mobilní aplikace připojí vzdáleně k zařízení z vnější sítě, autentizuje se pomocí mechanismu zabezpečení známého jako základní přístupové ověřování. Podle dnešních bezpečnostních standardů je to považováno za nejistou metodu autentizace, pokud není použita ve spojení s externím zabezpečeným systémem, jako je SSL. Uživatelská jména a hesla jsou předávána po drátě v nešifrovaném formátu, kódovaném tranzitním schématem Base64.

V důsledku toho může útočník zosobnit pravé zařízení registrací jiného zařízení se stejnou adresou MAC. Server se spojí se zařízením, které bylo zaregistrováno jako poslední, a také s mobilní aplikací. Tímto způsobem mohou útočníci zachytit heslo webové kamery.

Aplikaci může používat kdokoli stejně jako uživatel. To znamená zapnutí zvuku, mikrofonu a reproduktorů pro komunikaci s dětmi, zatímco rodiče nejsou v okolí nebo mají nerušený přístup k záznamům v reálném čase z ložnice vašich dětí. Je zřejmé, že se jedná o extrémně invazivní zařízení a jeho kompromis vede k děsivým následkům.

Aby nedošlo k narušení soukromí, proveďte před nákupem zařízení IoT důkladný průzkum a přečtěte si online recenze, které mohou odhalit problémy s ochranou soukromí. Za druhé, nainstalujte nástroj kybernetické bezpečnosti pro IoT, jako je Bitdefender's Box. Tyto nástroje prohledají síť a blokují phishingové útoky a další hrozby.