Нещодавно Bitfedender виявив основні вразливості конфіденційності в IoT-камерах, які дозволяють хакерам викрасти та перетворити ці пристрої на повноцінні шпигунські інструменти.

Камера, проаналізована Bitdefender, використовується для моніторингу для багатьох сімей та малого бізнесу. Пристрій включає стандартні функції моніторингу, такі як система виявлення руху та звуку, двостороння аудіо, вбудований мікрофон та динамік, датчики температури та вологості.

Уразливості безпеки можна легко експлуатувати під час з'єднання. Камера IoT створює точку доступу під час налаштування через бездротову мережу. Після встановлення відповідний мобільний додаток встановлює з'єднання з точкою доступу пристрою та підключається до нього автоматично. Потім користувач програми вводить облікові дані і процес налаштування завершено.

Проблема полягає в тому, що точка доступу відкрита і не потрібно вводити пароль. Більше того, дані, що циркулюють між мобільним додатком, камерою IoT та сервером, не шифруються. А ще гірше, Bitdefender також виявив, що мережеві облікові дані надсилаються в простому тексті з мобільного додатку на камеру.

Коли мобільний додаток віддалено підключається до пристрою, з-за меж локальної мережі, він автентифікується через механізм захисту, відомий як автентифікація базового доступу. За сьогоднішніми стандартами безпеки це вважається незахищеним методом аутентифікації, якщо він не використовується разом із зовнішньою захищеною системою, наприклад SSL. Імена користувачів та паролі передаються по дроту в незашифрованому форматі, закодованому схемою Base64 під час руху.

Як результат, зловмисник може себе представити справжнім пристроєм, зареєструвавши інший пристрій, з тим же MAC-адресою. Сервер підключиться до пристрою, який зареєструвався останнім, і мобільний додаток. Таким чином, зловмисники можуть захопити пароль веб-камери.

Будь-який користувач може користуватися додатком, як і користувач. Це означає увімкнути аудіо, мікрофон та динаміки для спілкування з дітьми, поки батьків немає поруч або мають неперешкоджений доступ до кадру в реальному часі зі спальні ваших дітей. Зрозуміло, що це надзвичайно інвазивний пристрій, і його компроміс призводить до страшних наслідків.

Щоб уникнути порушень конфіденційності, перед покупкою пристрою IoT пройдіть ретельне дослідження та прочитайте огляди в Інтернеті, які можуть виявити проблеми конфіденційності. По-друге, встановіть інструмент кібербезпеки для IoT, таких як Bitdefender's Box. Ці інструменти будуть сканувати мережу та блокувати фішинг-атаки та інші загрози.