Bitfedender je nedavno otkrio velike ranjivosti u privatnosti na IoT kamerama koje omogućuju hakerima otmicu i pretvaranje tih uređaja u punopravne špijunske alate.

Kamera koju je Bitdefender analizirao koristi se za potrebe nadzora u mnogim obiteljima i malim poduzećima. Uređaj uključuje standardne značajke praćenja, kao što su sustav za otkrivanje pokreta i zvuka, dvosmjerni audio, ugrađeni mikrofon i zvučnik te senzori temperature i vlage.

Sigurnosne ranjive lako se mogu iskoristiti tijekom postupka veze. IoT kamera stvara vruću točku tijekom konfiguracije putem bežične mreže. Nakon instaliranja odgovarajuća mobilna aplikacija uspostavlja vezu s žarišnom točkom uređaja i automatski se povezuje s njom. Tada korisnik aplikacije uvodi vjerodajnice i postupak postavljanja je dovršen.

Problem je što je pristupna točka otvorena i nije potrebna lozinka. Nadalje, podaci koji kruže između mobilne aplikacije, IoT kamere i poslužitelja nisu šifrirani. Da stvar bude još gora, Bitdefender je također otkrio da mrežne vjerodajnice u mobilnom programu na kameru šalju u običnom tekstu.

Kad se mobilna aplikacija daljinsko poveže s uređajem, izvan lokalne mreže, potvrđuje se putem sigurnosnog mehanizma poznatog kao Osnovna provjera pristupa. Prema današnjim sigurnosnim standardima, ovo se smatra nesigurnom metodom provjere autentičnosti, osim ako se koristi zajedno s vanjskim sigurnim sustavom kao što je SSL. Korisnička imena i lozinke prosljeđuju se putem žice u nekodiranom obliku, kodirane shemom Base64 u prijevozu.

Zbog toga napadač može lažno predstavljati originalan uređaj registrirajući drugačiji uređaj, s istom MAC adresom. Poslužitelj će se povezati s uređajem koji je registriran zadnji, kao i mobilnom aplikacijom. Na taj način napadači mogu uhvatiti lozinku web kamere.

Svatko može koristiti aplikaciju, baš kao što bi to učinio korisnik. To znači uključivanje zvuka, mikrofona i zvučnika za komunikaciju s djecom dok roditelji nisu u blizini ili imaju nesmetan pristup snimkama u stvarnom vremenu iz spavaće sobe vaše djece. Jasno je da je ovo izuzetno invazivan uređaj, a njegov kompromis dovodi do zastrašujuće posljedice.

Kako biste izbjegli povrede privatnosti, prije kupnje IoT uređaja temeljito istražite i pročitajte mrežne recenzije koje mogu otkriti probleme s privatnošću. Drugo, instalirajte alat za cyber-sigurnost za IoT-ove, poput Bitdefenderove kutije. Ti će alati skenirati mrežu i blokirati krađe identiteta i druge prijetnje.