Η Bitfedender διαπίστωσε πρόσφατα σημαντικές ευπάθειες απορρήτου σε κάμερες IoT που επιτρέπουν στους hackers να καταλάβουν και να μετατρέψουν αυτές τις συσκευές σε πλήρη εργαλεία κατασκοπείας.

Η φωτογραφική μηχανή που αναλύεται από τη Bitdefender χρησιμοποιείται από πολλούς οικογενειάρχες και μικρές επιχειρήσεις για σκοπούς παρακολούθησης. Η συσκευή περιλαμβάνει τυπικές λειτουργίες παρακολούθησης, όπως σύστημα ανίχνευσης κίνησης και ήχου, αμφίδρομο ήχο, ενσωματωμένο μικρόφωνο και ηχείο και αισθητήρες θερμοκρασίας και υγρασίας.

Οι ευπάθειες ασφαλείας μπορούν εύκολα να αξιοποιηθούν κατά τη διάρκεια της διαδικασίας σύνδεσης. Η κάμερα IoT δημιουργεί ένα hotspot κατά τη διάρκεια της διαμόρφωσης μέσω ασύρματου δικτύου. Μόλις εγκατασταθεί, η αντίστοιχη εφαρμογή για κινητά εγκαθιστά μια σύνδεση με το hotspot της συσκευής και συνδέεται αυτόματα με αυτό. Στη συνέχεια, ο χρήστης της εφαρμογής εισάγει τα διαπιστευτήρια και ολοκληρώνεται η διαδικασία εγκατάστασης.

Το πρόβλημα είναι ότι το hotspot είναι ανοιχτό και δεν απαιτείται κωδικός πρόσβασης. Επιπλέον, τα δεδομένα που κυκλοφορούν μεταξύ της εφαρμογής για κινητά, της κάμερας IoT και του διακομιστή δεν είναι κρυπτογραφημένα. Και για να χειροτερεύσει τα πράγματα, η Bitdefender ανίχνευσε επίσης ότι τα διαπιστευτήρια δικτύου αποστέλλονται σε απλό κείμενο από την εφαρμογή για κινητά στην κάμερα.

Όταν η εφαρμογή για κινητά συνδέεται εξ αποστάσεως με τη συσκευή, εκτός του τοπικού δικτύου, επαληθεύεται μέσω ενός μηχανισμού ασφαλείας γνωστού ως Έλεγχος βασικής πρόσβασης. Με τα σημερινά πρότυπα ασφαλείας, αυτή θεωρείται μια μη ασφαλής μέθοδος ελέγχου ταυτότητας, εκτός και αν χρησιμοποιείται σε συνδυασμό με ένα εξωτερικό ασφαλές σύστημα όπως το SSL. Τα ονόματα χρηστών και οι κωδικοί πρόσβασης διαβιβάζονται μέσω καλωδίου σε μη κρυπτογραφημένη μορφή, κωδικοποιημένη με σύστημα Base64 κατά τη μεταφορά.

Ως αποτέλεσμα, ένας εισβολέας μπορεί να μιμηθεί την αυθεντική συσκευή καταχωρώντας μια διαφορετική συσκευή με την ίδια διεύθυνση MAC. Ο διακομιστής θα συνδεθεί με τη συσκευή που έχει εγγραφεί τελευταία, όπως και η εφαρμογή για κινητά. Με αυτό τον τρόπο, οι εισβολείς μπορούν να καταγράψουν τον κωδικό πρόσβασης της κάμερας.

Ο καθένας μπορεί να χρησιμοποιήσει την εφαρμογή, ακριβώς όπως θα το έκανε ο χρήστης. Αυτό σημαίνει ενεργοποίηση του ήχου, του μικροφώνου και των ομιλητών για επικοινωνία με τα παιδιά, ενώ οι γονείς δεν βρίσκονται γύρω ή δεν έχουν ανενόχλητη πρόσβαση σε βίντεο σε πραγματικό χρόνο από το υπνοδωμάτιο των παιδιών σας. Είναι σαφές ότι πρόκειται για μια εξαιρετικά επεμβατική συσκευή και ο συμβιβασμός της οδηγεί σε τρομακτικές συνέπειες.

Προκειμένου να αποφευχθούν παραβιάσεις της ιδιωτικής ζωής, πραγματοποιήστε διεξοδική έρευνα πριν αγοράσετε μια συσκευή IoT και διαβάστε σε απευθείας σύνδεση σχόλια που μπορεί να αποκαλύψουν θέματα ιδιωτικότητας. Δεύτερον, εγκαταστήστε ένα εργαλείο για την ασφάλεια του κυβερνοχώρου για τα IOT, όπως το Box του Bitdefender. Αυτά τα εργαλεία θα σαρώσουν το δίκτυο και θα αποκλείσουν τις επιθέσεις phishing και άλλες απειλές.