Bitfedender недавно обнаружил серьезные уязвимости конфиденциальности в IoT-камерах, которые позволяют хакерам взломать и превратить эти устройства в полноценные шпионские инструменты.

Камера, проанализированная Bitdefender, используется для целей мониторинга многими семьями и малыми предприятиями. Устройство включает в себя стандартные функции мониторинга, такие как система обнаружения движения и звука, двусторонняя передача звука, встроенный микрофон и динамик, а также датчики температуры и влажности.

Уязвимости безопасности могут быть легко использованы во время процесса подключения. IoT камера создает точку доступа во время настройки через беспроводную сеть. После установки соответствующее мобильное приложение устанавливает соединение с точкой доступа устройства и автоматически подключается к ней. Затем пользователь приложения вводит учетные данные, и процесс установки завершается.

Проблема в том, что точка доступа открыта и пароль не требуется. Кроме того, данные, циркулирующие между мобильным приложением, IoT-камерой и сервером, не шифруются. И что еще хуже, Bitdefender также обнаружил, что сетевые учетные данные отправляются в виде простого текста из мобильного приложения на камеру.

Когда мобильное приложение подключается удаленно к устройству из-за пределов локальной сети, оно аутентифицируется с помощью механизма безопасности, известного как базовая аутентификация доступа. Согласно современным стандартам безопасности, это считается небезопасным методом аутентификации, если только он не используется совместно с внешней защищенной системой, такой как SSL. Имена пользователей и пароли передаются по проводам в незашифрованном формате, кодируемом при передаче по схеме Base64.

В результате злоумышленник может выдать себя за подлинное устройство, зарегистрировав другое устройство с тем же MAC-адресом. Сервер подключится к устройству, которое было зарегистрировано последним, и мобильное приложение. Таким образом, злоумышленники могут захватить пароль веб-камеры.

Любой может использовать приложение, так же как и пользователь. Это означает включение аудио, микрофона и динамиков для общения с детьми, когда родителей нет рядом, или беспрепятственный доступ к видеоматериалам в реальном времени из спальни ваших детей. Понятно, что это чрезвычайно агрессивное устройство, и его компрометация приводит к страшным последствиям.

Чтобы избежать нарушений конфиденциальности, перед покупкой устройства IoT тщательно изучите его и прочтите онлайн-обзоры, которые могут выявить проблемы с конфиденциальностью. Во-вторых, установите инструмент кибербезопасности для IoT, такой как Bitdefender's Box. Эти инструменты будут сканировать сеть и блокировать фишинговые атаки и другие угрозы.