Bitfedender heeft onlangs grote privacykwetsbaarheden in IoT-camera's gedetecteerd waarmee hackers deze apparaten kunnen kapen en omzetten in volwaardige spionagetools.

De door Bitdefender geanalyseerde camera wordt door veel families en kleine bedrijven gebruikt voor bewakingsdoeleinden. Het apparaat bevat standaard bewakingsfuncties, zoals een bewegings- en geluidsdetectiesysteem, tweeweg audio, ingebouwde microfoon en luidspreker en temperatuur- en vochtigheidssensoren.

De beveiligingslekken kunnen gemakkelijk worden misbruikt tijdens het verbindingsproces. De IoT-camera creëert een hotspot tijdens configuratie via een draadloos netwerk. Eenmaal geïnstalleerd, maakt de overeenkomstige mobiele applicatie een verbinding met de hotspot van het apparaat en maakt automatisch verbinding. De app-gebruiker introduceert vervolgens de inloggegevens en het installatieproces is voltooid.

Het probleem is dat de hotspot open is en geen wachtwoord vereist is. Bovendien zijn de gegevens die circuleren tussen de mobiele applicatie, de IoT-camera en de server niet gecodeerd. En om het nog erger te maken, heeft Bitdefender ook gedetecteerd dat de netwerkreferenties in platte tekst van de mobiele app naar de camera worden verzonden.

Wanneer de mobiele app op afstand verbinding maakt met het apparaat, van buiten het lokale netwerk, wordt deze geverifieerd via een beveiligingsmechanisme dat bekend staat als Basic Access Authentication. Volgens de huidige beveiligingsstandaarden wordt dit beschouwd als een onveilige authenticatiemethode, tenzij gebruikt in combinatie met een extern beveiligd systeem zoals SSL. Gebruikersnamen en wachtwoorden worden in een niet-gecodeerd formaat over de draad overgedragen, gecodeerd met een Base64-schema tijdens het transport.

Als gevolg hiervan kan een aanvaller zich voordoen als het echte apparaat door een ander apparaat te registreren met hetzelfde MAC-adres. De server maakt verbinding met het apparaat dat het laatst is geregistreerd, evenals de mobiele app. Op deze manier kunnen aanvallers het wachtwoord van de webcam vastleggen.

Iedereen kan de app gebruiken, net als de gebruiker. Dit betekent het inschakelen van audio, microfoon en luidsprekers om te communiceren met kinderen terwijl ouders niet in de buurt zijn of ongestoorde toegang hebben tot realtime beelden vanuit de slaapkamer van uw kinderen. Het is duidelijk dat dit een uiterst invasief apparaat is en het compromis ervan leidt tot enge gevolgen.

Om privacyschendingen te voorkomen, moet u grondig onderzoek doen voordat u een IoT-apparaat koopt en online recensies lezen die mogelijk privacykwesties aan het licht brengen. Ten tweede, installeer een cybersecurity-tool voor IoT's, zoals Bitdefender's Box. Deze tools scannen het netwerk en blokkeren phishing-aanvallen en andere bedreigingen.