Bitfedender a detectat recent vulnerabilități majore în confidențialitate în camerele IoT, care permit hackerilor să deturneze și să transforme aceste dispozitive în instrumente de spionaj complet.

Camera analizată de Bitdefender este utilizată în scopuri de monitorizare de către multe familii și întreprinderi mici. Dispozitivul include funcții de monitorizare standard, cum ar fi un sistem de detectare a mișcării și sunetului, audio cu două sensuri, microfon și difuzor încorporat și senzori de temperatură și umiditate.

Vulnerabilitățile de securitate pot fi ușor exploatate în timpul procesului de conectare. Camera IoT creează un hotspot în timpul configurației prin intermediul unei rețele wireless. Odată instalată, aplicația mobilă corespunzătoare stabilește o conexiune cu hotspot-ul dispozitivului și se conectează automat la acesta. Utilizatorul aplicației introduce apoi datele de acreditare, iar procesul de configurare este complet.

Problema este că hotspot-ul este deschis și nu este necesară nicio parolă. Mai mult, datele care circulă între aplicația mobilă, camera IoT și serverul nu sunt criptate. Și pentru a înrăutăți lucrurile, Bitdefender a detectat, de asemenea, că datele de identificare ale rețelei sunt trimise în text simplu din aplicația mobilă către aparatul foto.

Când aplicația mobilă se conectează de la distanță la dispozitiv, din afara rețelei locale, se autentifică printr-un mecanism de securitate cunoscut sub numele de autentificare de acces de bază. Conform standardelor de securitate de astăzi, aceasta este considerată o metodă nesigură de autentificare, cu excepția cazului în care este utilizată împreună cu un sistem securizat extern, cum ar fi SSL. Numele de utilizator și parolele sunt transmise prin cablu într-un format necriptat, codat cu o schemă Base64 în tranzit.

Drept urmare, un atacator poate înlocui dispozitivul autentic prin înregistrarea unui dispozitiv diferit, cu aceeași adresă MAC. Serverul se va conecta cu dispozitivul înregistrat ultima dată, la fel și aplicația mobilă. În acest fel, atacatorii pot capta parola camerei web.

Oricine poate folosi aplicația, așa cum și-ar dori utilizatorul. Aceasta înseamnă să porniți audio, microfon și difuzoare pentru a comunica cu copiii, în timp ce părinții nu sunt în preajmă sau au acces neîntrerupt la imagini în timp real din dormitorul copiilor dvs. În mod clar, acesta este un dispozitiv extrem de invaziv, iar compromisul său duce la consecințe înfricoșătoare.

Pentru a evita încălcările confidențialității, efectuați o cercetare detaliată înainte de a cumpăra un dispozitiv IoT și citiți recenzii online care pot dezvălui probleme de confidențialitate. În al doilea rând, instalați un instrument de securitate cibernetică pentru IoT-uri, cum ar fi Bitdefender’s Box. Aceste instrumente vor scana rețeaua și vor bloca atacurile de phishing și alte amenințări.