Наскоро Bitfedender откри големи уязвимости в личните данни в IoT камери, които позволяват на хакерите да отвлекат и превърнат тези устройства в пълноценни шпионски инструменти.

Камерата, анализирана от Bitdefender, се използва за мониторинг цели от много семейства и малки фирми. Устройството включва стандартни функции за мониторинг, като система за откриване на движение и звук, двупосочно аудио, вграден микрофон и високоговорител и сензори за температура и влажност.

Уязвимостите за сигурност могат лесно да бъдат използвани по време на процеса на свързване. IoT камерата създава гореща точка по време на конфигуриране чрез безжична мрежа. Веднъж инсталирано, съответното мобилно приложение установява връзка с горещата точка на устройството и се свързва автоматично с него. След това потребителят на приложението въвежда идентификационните данни и процесът на настройка е завършен.

Проблемът е, че горещата точка е отворена и не се изисква парола. Освен това данните, които циркулират между мобилното приложение, IoT камерата и сървъра, не са кодирани. И за да влоши нещата, Bitdefender откри също, че мрежовите идентификационни данни се изпращат с обикновен текст от мобилното приложение до камерата.

Когато мобилното приложение се свързва дистанционно с устройството, извън локалната мрежа, то се удостоверява чрез механизъм за защита, известен като автентификация на основен достъп. Според днешните стандарти за сигурност това се счита за несигурен метод за удостоверяване, освен ако не се използва заедно с външна защитена система като SSL. Потребителските имена и пароли се предават по тел в незашифрован формат, кодиран със схема Base64 в транзит.

В резултат на това един атакуващ може да се представи като истинско устройство, като регистрира различно устройство, със същия MAC адрес. Сървърът ще се свърже с устройството, което се е регистрирало последно, както и мобилното приложение. По този начин нападателите могат да улавят паролата на уеб камерата.

Всеки може да използва приложението, точно както би направил потребителят. Това означава да включите аудио, микрофон и високоговорители, за да общувате с деца, докато родителите не са наоколо или имат необезпокояван достъп до кадри в реално време от спалнята на децата ви. Ясно е, че това е изключително инвазивно устройство и компромисът му води до страшни последици.

За да избегнете нарушения на личния живот, направете задълбочено проучване, преди да купите IoT устройство и прочетете онлайн рецензии, които могат да разкрият проблеми с поверителността. Второ, инсталирайте инструмент за киберсигурност за IoTs, като например Bitdefender's Box. Тези инструменти ще сканират мрежата и ще блокират фишинг атаки и други заплахи.