Neseniai „Bitfedender“ aptiko didelius internetinio vaizdo kamerų privatumo pažeidžiamumus, leidžiančius įsilaužėliams užgrobti ir paversti šiuos įrenginius visaverčiais šnipinėjimo įrankiais.

„Bitdefender“ išanalizuota kamera stebėjimo tikslais naudojama daugeliui šeimų ir mažų įmonių. Įrenginyje yra standartinės stebėjimo funkcijos, tokios kaip judesio ir garso aptikimo sistema, dvipusis garsas, įmontuotas mikrofonas ir garsiakalbis bei temperatūros ir drėgmės jutikliai.

Saugumo spragas galima lengvai išnaudoti prisijungimo metu. IP kamera sukuria viešosios interneto prieigos tašką konfigūravimo metu per belaidį tinklą. Įdiegus atitinkamą mobiliąją programą, užmezgamas ryšys su įrenginio viešosios interneto prieigos tašku ir prie jo prisijungiama automatiškai. Tada programos vartotojas pristato kredencialus ir sąrankos procesas baigtas.

Problema ta, kad viešosios interneto prieigos taškas yra atidarytas ir slaptažodžio nereikia. Be to, duomenys, cirkuliuojantys tarp mobiliosios programos, interneto kameros ir serverio, nėra užšifruoti. Kad būtų dar blogiau, „Bitdefender“ taip pat nustatė, kad tinklo kredencialai paprastu tekstu siunčiami iš mobiliosios programos į kamerą.

Kai mobilioji programa prisijungia per įrenginį nuotoliniu būdu iš vietinio tinklo, ji autentifikuojasi naudodama saugos mechanizmą, vadinamą pagrindine prieigos autentifikacija. Pagal šiandienos saugumo standartus tai laikoma nesaugu autentifikavimo metodu, nebent jis naudojamas kartu su išorine saugia sistema, pavyzdžiui, SSL. Vartotojo vardai ir slaptažodžiai perduodami per laidą nešifruotu formatu, koduojamu perkeliant „Base64“ schemą.

Todėl užpuolikas gali apsimetinėti autentišku įrenginiu, įregistruodamas kitą įrenginį tuo pačiu MAC adresu. Serveris prisijungs prie paskutinį kartą registruoto įrenginio, taip pat ir programa mobiliesiems. Tokiu būdu užpuolikai gali užfiksuoti internetinės kameros slaptažodį.

Kiekvienas gali naudoti programą, kaip ir pats vartotojas. Tai reiškia, kad reikia įjungti garso, mikrofoną ir garsiakalbius, kad būtų galima bendrauti su vaikais, kai tėvai nėra šalia ar netrukdo prieiti prie realiojo laiko filmuotų filmų iš jūsų vaikų miegamojo. Aišku, tai labai invazinis prietaisas, o jo kompromisas sukelia baisių padarinių.

Kad išvengtumėte privatumo pažeidimų, prieš pirkdami IoT įrenginį, atlikite išsamius tyrimus ir perskaitykite internetines apžvalgas, kuriose gali būti atskleistos privatumo problemos. Antra, įdiekite interneto kibernetinio saugumo įrankį, pvz., „Bitdefender's Box“. Šios priemonės nuskaitys tinklą ir užkirs kelią sukčiavimo išpuoliams bei kitoms grėsmėms.