Friendoffriends
Bitfedender detectó recientemente importantes vulnerabilidades de privacidad en las cámaras de IoT que permiten a los piratas informáticos secuestrar y convertir estos dispositivos en herramientas de espionaje completas..
Muchas familias y pequeñas empresas utilizan la cámara analizada por Bitdefender con fines de supervisión. El dispositivo incluye funciones de monitoreo estándar, como un sistema de detección de movimiento y sonido, audio bidireccional, micrófono y altavoz integrados, y sensores de temperatura y humedad..
Las vulnerabilidades de seguridad se pueden aprovechar fácilmente durante el proceso de conexión. La cámara IoT crea un punto de acceso durante la configuración a través de una red inalámbrica. Una vez instalada, la aplicación móvil correspondiente establece una conexión con el hotspot del dispositivo y se conecta a él automáticamente. Luego, el usuario de la aplicación introduce las credenciales y el proceso de configuración se completa.
El problema es que el hotspot está abierto y no se requiere contraseña. Además, los datos que circulan entre la aplicación móvil, la cámara de IoT y el servidor no están encriptados. Y para empeorar las cosas, Bitdefender también detectó que las credenciales de red se envían en texto sin formato desde la aplicación móvil a la cámara..
Cuando la aplicación móvil se conecta de forma remota al dispositivo, desde fuera de la red local, se autentica mediante un mecanismo de seguridad conocido como Autenticación de acceso básico. Según los estándares de seguridad actuales, esto se considera un método de autenticación inseguro, a menos que se utilice junto con un sistema seguro externo como SSL. Los nombres de usuario y las contraseñas se pasan por cable en un formato no cifrado, codificado con un esquema Base64 en tránsito.
Como resultado, un atacante puede hacerse pasar por el dispositivo original registrando un dispositivo diferente, con la misma dirección MAC. El servidor se conectará con el último dispositivo que se registró, al igual que la aplicación móvil. De esta manera, los atacantes pueden capturar la contraseña de la cámara web..
Cualquiera puede usar la aplicación, tal como lo haría el usuario. Esto significa encender el audio, el micrófono y los parlantes para comunicarse con los niños mientras los padres no están cerca o tener acceso sin interrupciones a las imágenes en tiempo real de la habitación de sus hijos. Claramente, este es un dispositivo extremadamente invasivo y su compromiso conduce a consecuencias aterradoras..
Para evitar violaciones de la privacidad, realice una investigación exhaustiva antes de comprar un dispositivo de IoT y lea las reseñas en línea que pueden revelar problemas de privacidad. En segundo lugar, instale una herramienta de ciberseguridad para IoT, como Bitdefender's Box. Estas herramientas escanearán la red y bloquearán los ataques de phishing y otras amenazas..
