Bitfedender har for nylig opdaget store sårbarheder i privatlivets fred i IoT-kameraer, der tillader hackere at kapre og omdanne disse enheder til fuldt spionage-værktøjer.

Kameraet, der er analyseret af Bitdefender, bruges til overvågningsformål af mange familier og små virksomheder. Enheden inkluderer standardovervågningsfunktioner, såsom et bevægelses- og lyddetekteringssystem, tovejs lyd, indbygget mikrofon og højttaler og temperatur- og fugtighedsfølere.

Sikkerhedsmæssige sårbarheder kan let udnyttes under forbindelsesprocessen. IoT-kameraet opretter et hotspot under konfiguration via et trådløst netværk. Når den tilsvarende installation er installeret, opretter den en forbindelse med enhedens hotspot og opretter forbindelse automatisk til den. App-brugeren introducerer derefter legitimationsoplysningerne, og installationsprocessen er afsluttet.

Problemet er, at hotspotet er åbent, og der kræves ingen adgangskode. Desuden er dataene, der cirkulerer mellem mobilapplikationen, IoT-kameraet og serveren, ikke krypteret. Og for at gøre tingene værre, opdagede Bitdefender også, at netværksoplysningerne sendes i ren tekst fra mobilappen til kameraet.

Når mobilappen tilsluttes eksternt til enheden, uden for det lokale netværk, autentificeres den gennem en sikkerhedsmekanisme, der er kendt som en grundlæggende adgangsgodkendelse. Efter nutidens sikkerhedsstandarder betragtes dette som en usikker autentificeringsmetode, medmindre den bruges sammen med et eksternt sikkert system som SSL. Brugernavne og adgangskoder sendes over ledning i et ikke-krypteret format kodet med et Base64-skema under transit.

Som et resultat kan en hacker angribe den ægte enhed ved at registrere en anden enhed med den samme MAC-adresse. Serveren opretter forbindelse til den enhed, der sidst registrerede, og det samme gør mobilappen. På denne måde kan angribere fange webcam-adgangskoden.

Alle kan bruge appen, ligesom brugeren ville gøre. Dette betyder at tænde for lyd, mikrofon og højttalere for at kommunikere med børn, mens forældrene ikke er i nærheden eller har uforstyrret adgang til realtidsoptagelser fra dine børns soveværelse. Det er tydeligt, at dette er en ekstremt invasiv enhed, og dens kompromis fører til skræmmende konsekvenser.

For at undgå krænkelser af privatlivets fred skal du foretage en grundig undersøgelse, før du køber en IoT-enhed og læse onlineanmeldelser, der kan afsløre personlige problemer. For det andet skal du installere et cybersecurity-værktøj til IoTs, f.eks. Bitdefender's Box. Disse værktøjer scanner netværket og blokerer phishingangreb og andre trusler.