Bitfedender va detectar recentment importants vulnerabilitats de privadesa a les càmeres IoT que permeten als pirates informàtics segrestar i convertir aquests dispositius en eines d’espionatge completes.

La càmera analitzada per Bitdefender s'utilitza per a famílies i petites empreses amb finalitats de control. El dispositiu inclou funcions de control estàndard, com ara un sistema de detecció de moviments i so, un audio bidireccional, un micròfon i un altaveu integrats i sensors de temperatura i humitat.

Les vulnerabilitats de seguretat es poden explotar fàcilment durant el procés de connexió. La càmera IoT crea un hotspot durant la configuració mitjançant una xarxa sense fils. Un cop instal·lada, l’aplicació mòbil corresponent estableix una connexió amb l’hotspot del dispositiu i es connecta automàticament a ell. L'usuari de l'aplicació introdueix les credencials i el procés de configuració s'ha completat.

El problema és que l’hotspot està obert i no cal cap contrasenya. A més, les dades que circulen entre l'aplicació mòbil, càmera IoT i servidor no estan xifrades. I per empitjorar les coses, Bitdefender també va detectar que les credencials de xarxa s'envien en text senzill des de l'aplicació mòbil a la càmera.

Quan l'aplicació per a mòbils es connecta de forma remota al dispositiu, des de fora de la xarxa local, s'autentica mitjançant un mecanisme de seguretat conegut com a autenticació d'accés bàsic. Segons els estàndards de seguretat actuals, es considera un mètode insegur d’autenticació, tret que s’utilitzi conjuntament amb un sistema segur extern com SSL. Els noms d’usuari i les contrasenyes es transmeten filferro en un format no xifrat, codificat amb un esquema Base64 en trànsit.

Com a resultat, un atacant pot suplantar el dispositiu genuí registrant un dispositiu diferent, amb la mateixa adreça MAC. El servidor es connectarà amb el dispositiu que es va registrar el passat, i també ho serà amb l’aplicació mòbil. D’aquesta manera, els atacants poden capturar la contrasenya de la càmera web.

Qualsevol persona pot utilitzar l'aplicació, tal com ho faria l'usuari. Això significa activar àudio, micròfon i altaveus per comunicar-se amb els nens mentre els pares no estan al voltant o no tenen accés no realitzat a imatges en temps real des del dormitori dels vostres fills. És evident que es tracta d’un dispositiu extremament invasiu i el seu compromís comporta conseqüències espantoses.

Per tal d’evitar incompliments de privadesa, feu una investigació exhaustiva abans de comprar un dispositiu IoT i llegiu comentaris en línia que puguin revelar problemes de privadesa. En segon lloc, instal·leu una eina de ciberseguretat per a IoTs, com Bitdefender’s Box. Aquestes eines exploraran la xarxa i bloquejaran els atacs de pesca i altres amenaces.