Friendoffriends
Bitfedender hat kürzlich große Datenschutzlücken in IoT-Kameras entdeckt, die es Hackern ermöglichen, diese Geräte zu entführen und in vollwertige Spionagetools umzuwandeln.
Die von Bitdefender analysierte Kamera wird von vielen Familien und kleinen Unternehmen zu Überwachungszwecken verwendet. Das Gerät verfügt über Standardüberwachungsfunktionen wie ein Bewegungs- und Geräuscherkennungssystem, Zwei-Wege-Audio, ein eingebautes Mikrofon und einen Lautsprecher sowie Temperatur- und Feuchtigkeitssensoren.
Die Sicherheitslücken können während des Verbindungsprozesses leicht ausgenutzt werden. Die IoT-Kamera erstellt während der Konfiguration über ein drahtloses Netzwerk einen Hotspot. Nach der Installation stellt die entsprechende mobile Anwendung eine Verbindung zum Hotspot des Geräts her und stellt automatisch eine Verbindung her. Der App-Benutzer gibt dann die Anmeldeinformationen ein und der Einrichtungsvorgang ist abgeschlossen.
Das Problem ist, dass der Hotspot geöffnet ist und kein Passwort erforderlich ist. Darüber hinaus werden die zwischen der mobilen Anwendung, der IoT-Kamera und dem Server zirkulierenden Daten nicht verschlüsselt. Und um die Sache noch schlimmer zu machen, hat Bitdefender auch festgestellt, dass die Netzwerkanmeldeinformationen im Klartext von der mobilen App an die Kamera gesendet werden.
Wenn die mobile App von außerhalb des lokalen Netzwerks eine Remoteverbindung zum Gerät herstellt, wird sie über einen Sicherheitsmechanismus authentifiziert, der als Basiszugriffsauthentifizierung bezeichnet wird. Nach den heutigen Sicherheitsstandards wird dies als unsichere Authentifizierungsmethode angesehen, sofern sie nicht in Verbindung mit einem externen sicheren System wie SSL verwendet wird. Benutzernamen und Passwörter werden in einem unverschlüsselten Format über Kabel übertragen, das während der Übertragung mit einem Base64-Schema codiert wird.
Infolgedessen kann sich ein Angreifer als Originalgerät ausgeben, indem er ein anderes Gerät mit derselben MAC-Adresse registriert. Der Server stellt eine Verbindung mit dem zuletzt registrierten Gerät her, ebenso wie die mobile App. Auf diese Weise können Angreifer das Kennwort der Webcam erfassen.
Jeder kann die App genauso nutzen wie der Benutzer. Dies bedeutet, dass Sie Audio, Mikrofon und Lautsprecher einschalten, um mit Kindern zu kommunizieren, während die Eltern nicht in der Nähe sind oder ungestörten Zugriff auf Echtzeitmaterial aus dem Kinderzimmer haben. Dies ist eindeutig ein extrem invasives Gerät, und sein Kompromiss führt zu beängstigenden Konsequenzen.
Um Datenschutzverletzungen zu vermeiden, sollten Sie vor dem Kauf eines IoT-Geräts gründliche Nachforschungen anstellen und Online-Bewertungen lesen, die möglicherweise Datenschutzprobleme aufdecken. Zweitens installieren Sie ein Cybersicherheitstool für IoTs, z. B. Bitdefender's Box. Diese Tools scannen das Netzwerk und blockieren Phishing-Angriffe und andere Bedrohungen.
