Friendoffriends
Bitfedender nedávno zjistil hlavní chyby zabezpečení soukromí v IoT kamerách, které umožňují hackerům unést a proměnit tato zařízení v plnohodnotné špionážní nástroje.
Fotoaparát analyzovaný Bitdefenderem je používán pro účely monitorování mnoha rodinami a malými podniky. Zařízení obsahuje standardní monitorovací funkce, jako je systém detekce pohybu a zvuku, obousměrný zvuk, vestavěný mikrofon a reproduktor a snímače teploty a vlhkosti.
Chyby zabezpečení lze snadno zneužít během procesu připojení. Kamera IoT vytváří hotspot během konfigurace prostřednictvím bezdrátové sítě. Po instalaci vytvoří příslušná mobilní aplikace spojení s hotspotem zařízení a připojí se k němu automaticky. Uživatel aplikace poté představí pověření a proces instalace je dokončen.
Problém je v tom, že hotspot je otevřený a není vyžadováno žádné heslo. Data cirkulující mezi mobilní aplikací, kamerou IoT a serverem navíc nejsou šifrována. A aby toho nebylo málo, Bitdefender také zjistil, že síťová pověření jsou odesílána jako text z mobilní aplikace do kamery.
Když se mobilní aplikace připojuje vzdáleně k zařízení, mimo místní síť, ověřuje se pomocí mechanismu zabezpečení známého jako Základní ověřování přístupu. Podle dnešních standardů zabezpečení se to považuje za nezabezpečenou metodu ověřování, pokud se nepoužívá ve spojení s externím zabezpečeným systémem, jako je SSL. Uživatelská jména a hesla jsou předávána po drátě v nezašifrovaném formátu, kódovaná během přenosu schématem Base64.
Výsledkem je, že se útočník může vydávat za skutečné zařízení registrací jiného zařízení se stejnou adresou MAC. Server se připojí k zařízení, které se zaregistrovalo jako poslední, a také mobilní aplikace. Tímto způsobem mohou útočníci zachytit heslo webové kamery.
Aplikaci může používat kdokoli stejně jako uživatel. To znamená zapnout zvuk, mikrofon a reproduktory pro komunikaci s dětmi, zatímco rodiče nejsou nablízku nebo mají nerušený přístup k záznamům z ložnice vašich dětí v reálném čase. Je zřejmé, že se jedná o extrémně invazivní zařízení a jeho kompromis vede k děsivým následkům.
Abyste se vyhnuli narušení soukromí, proveďte před zakoupením zařízení IoT důkladný průzkum a přečtěte si online recenze, které mohou odhalit problémy s ochranou soukromí. Zadruhé nainstalujte nástroj kybernetické bezpečnosti pro IoT, například Bitdefender's Box. Tyto nástroje prohledají síť a zablokují phishingové útoky a další hrozby.
