Friendoffriends
Bitfedender heeft onlangs grote privacyproblemen gedetecteerd in IoT-camera's waardoor hackers deze apparaten kunnen kapen en omzetten in volwaardige spionagetools.
De camera die door Bitdefender is geanalyseerd, wordt door veel gezinnen en kleine bedrijven gebruikt voor bewakingsdoeleinden. Het apparaat bevat standaard bewakingsfuncties, zoals een bewegings- en geluidsdetectiesysteem, tweeweg audio, ingebouwde microfoon en luidspreker en temperatuur- en vochtigheidssensoren.
De beveiligingslekken kunnen gemakkelijk worden misbruikt tijdens het verbindingsproces. De IoT-camera creëert een hotspot tijdens de configuratie via een draadloos netwerk. Na installatie maakt de bijbehorende mobiele applicatie verbinding met de hotspot van het apparaat en maakt er automatisch verbinding mee. De app-gebruiker introduceert vervolgens de inloggegevens en het installatieproces is voltooid.
Het probleem is dat de hotspot open is en er geen wachtwoord vereist is. Bovendien zijn de gegevens die tussen de mobiele applicatie, de IoT-camera en de server circuleren niet versleuteld. En om het nog erger te maken, heeft Bitdefender ook gedetecteerd dat de netwerkreferenties in platte tekst van de mobiele app naar de camera worden verzonden.
Wanneer de mobiele app op afstand verbinding maakt met het apparaat, van buiten het lokale netwerk, wordt deze geverifieerd via een beveiligingsmechanisme dat bekend staat als Basic Access Authentication. Volgens de huidige beveiligingsnormen wordt dit beschouwd als een onveilige authenticatiemethode, tenzij gebruikt in combinatie met een extern beveiligd systeem zoals SSL. Gebruikersnamen en wachtwoorden worden over de draad doorgegeven in een niet-versleutelde indeling, gecodeerd met een Base64-schema tijdens de overdracht.
Als gevolg hiervan kan een aanvaller zich voordoen als het echte apparaat door een ander apparaat met hetzelfde MAC-adres te registreren. De server maakt verbinding met het apparaat dat zich het laatst heeft geregistreerd, evenals de mobiele app. Op deze manier kunnen aanvallers het wachtwoord van de webcam achterhalen.
Iedereen kan de app gebruiken, net zoals de gebruiker dat zou doen. Dit betekent dat u audio, microfoon en luidsprekers moet inschakelen om met kinderen te communiceren terwijl de ouders niet in de buurt zijn of ongestoord toegang hebben tot realtime beelden uit de slaapkamer van uw kinderen. Het is duidelijk dat dit een extreem invasief apparaat is, en het compromitteren ervan leidt tot enge gevolgen.
Om inbreuken op de privacy te voorkomen, moet u grondig onderzoek doen voordat u een IoT-apparaat koopt en online beoordelingen lezen die privacyproblemen aan het licht kunnen brengen. Installeer ten tweede een cyberbeveiligingstool voor IoT's, zoals Bitdefender's Box. Deze tools scannen het netwerk en blokkeren phishingaanvallen en andere bedreigingen.
