Bitfedender oppdaget nylig store personvernsårbarheter i IoT-kameraer som lar hackere kapre og gjøre disse enhetene til fullverdige spioneringsverktøy.

Kameraet analysert av Bitdefender brukes til overvåkningsformål av mange familier og små bedrifter. Enheten har standard overvåkingsfunksjoner, for eksempel et bevegelses- og lyddeteksjonssystem, toveis lyd, innebygd mikrofon og høyttaler, og temperatur- og fuktighetssensorer.

Sikkerhetssårbarhetene kan lett utnyttes under tilkoblingsprosessen. IoT-kameraet oppretter et hotspot under konfigurering via et trådløst nettverk. Når den er installert, oppretter den tilsvarende mobilapplikasjonen en forbindelse med enhetens hotspot og kobles automatisk til den. App-brukeren introduserer deretter legitimasjonsbeskrivelser og installasjonsprosessen er fullført.

Problemet er at hotspotet er åpent og ingen passord kreves. Dessuten er ikke dataene som sirkulerer mellom mobilapplikasjonen, IoT-kameraet og serveren kryptert. Og for å gjøre ting verre, oppdaget Bitdefender også at nettverksopplysningene sendes i ren tekst fra mobilappen til kameraet.

Når mobilappen kobles eksternt til enheten, utenfor det lokale nettverket, autentiseres den gjennom en sikkerhetsmekanisme kjent som en grunnleggende tilgangsgodkjenning. Etter dagens sikkerhetsstandarder anses dette som en usikker autentiseringsmetode, med mindre den brukes i forbindelse med et eksternt sikkert system som SSL. Brukernavn og passord sendes over ledning i et ukryptert format, kodet med et Base64-skjema under transport.

Som et resultat kan en angriper ettergi seg den ekte enheten ved å registrere en annen enhet, med samme MAC-adresse. Serveren vil koble seg til enheten som registrerte sist, og det samme vil mobilappen. På denne måten kan angripere fange webkameraets passord.

Hvem som helst kan bruke appen, akkurat som brukeren ville gjort. Dette betyr å skru på lyd, mikrofon og høyttalere for å kommunisere med barn mens foreldre ikke er i nærheten eller har uforstyrret tilgang til sanntidsopptak fra barnas soverom. Det er klart dette er et ekstremt invasivt apparat, og kompromisset fører til skumle konsekvenser.

For å unngå brudd på personvernet, gjør en grundig undersøkelse før du kjøper en IoT-enhet og les online anmeldelser som kan avsløre personvernproblemer. For det andre, installer et nettverkssikkerhetsverktøy for IoTer, for eksempel Bitdefender's Box. Disse verktøyene vil skanne nettverket og blokkere phishing-angrep og andre trusler.