Bitfedender upptäckte nyligen stora sekretessproblem i IoT-kameror som gör det möjligt för hackare att kapa och förvandla dessa enheter till fullständiga spioneringsverktyg.

Kameran som analyseras av Bitdefender används för övervakning av många familjer och småföretag. Enheten har standardövervakningsfunktioner, såsom ett rörelse- och ljuddetekteringssystem, tvåvägsljud, inbyggd mikrofon och högtalare samt temperatur- och fuktighetssensorer.

Säkerhetsproblemen kan lätt utnyttjas under anslutningsprocessen. IoT-kameran skapar en hotspot under konfigurationen via ett trådlöst nätverk. När den har installerats upprättar motsvarande mobilapplikation en anslutning till enhetens hotspot och ansluts automatiskt till den. Appanvändaren introducerar sedan referenser och installationsprocessen är klar.

Problemet är att hotspot är öppet och inget lösenord krävs. Dessutom är informationen som cirkulerar mellan mobilapplikationen, IoT-kameran och servern inte krypterad. Och för att förvärra saker, upptäckte Bitdefender också att nätverksinformationen skickas i ren text från mobilappen till kameran.

När mobilappen ansluts på distans till enheten, utanför det lokala nätverket, autentiseras den genom en säkerhetsmekanism som kallas en grundläggande åtkomstverifiering. Enligt dagens säkerhetsnormer betraktas detta som en osäker autentiseringsmetod, såvida den inte används i samband med ett externt säkert system som SSL. Användarnamn och lösenord överförs över tråd i ett okrypterat format, kodat med ett Base64-schema under transport.

Som ett resultat kan en angripare efterge sig den äkta enheten genom att registrera en annan enhet med samma MAC-adress. Servern kommer att ansluta till den enhet som registrerades senast, och även appen. På detta sätt kan angriparna fånga webbkamerans lösenord.

Vem som helst kan använda appen, precis som användaren skulle göra. Detta innebär att slå på ljud, mikrofon och högtalare för att kommunicera med barn medan föräldrar inte är i närheten eller har ostörd tillgång till bilder i realtid från dina barns sovrum. Det är uppenbart att detta är en extremt invasiv enhet och kompromissen leder till läskiga konsekvenser.

För att undvika överträdelser av sekretess, gör en grundlig undersökning innan du köper en IoT-enhet och läs recensioner online som kan avslöja sekretessproblem. För det andra, installera ett cybersecurity-verktyg för IoTs, till exempel Bitdefenders Box. Dessa verktyg skannar nätverket och blockerar nätfiskeattacker och andra hot.