Bitfedender kısa süre önce IoT kameralarında, bilgisayar korsanlarının bu aygıtları ele geçirmesine ve tam teşekküllü casusluk araçlarına dönüştürmesine izin veren önemli güvenlik açıkları tespit etti.

Bitdefender tarafından analiz edilen kamera, birçok aile ve küçük işletme tarafından izleme amacıyla kullanılmaktadır. Cihaz, hareket ve ses algılama sistemi, iki yönlü ses, dahili mikrofon ve hoparlör ve sıcaklık ve nem sensörleri gibi standart izleme özelliklerini içerir.

Bağlantıdaki güvenlik açıklarından kolayca yararlanılabilir. IoT kamera, kablosuz ağ üzerinden yapılandırma sırasında bir sıcak nokta oluşturur. Kurulduktan sonra, ilgili mobil uygulama, cihazın etkin alanı ile bir bağlantı kurar ve otomatik olarak bağlanır. Uygulama kullanıcısı daha sonra kimlik bilgilerini tanıtır ve kurulum işlemi tamamlanır.

Sorun, etkin erişim noktasının açık olması ve şifre gerektirmemesidir. Ayrıca, mobil uygulama, IoT kamera ve sunucu arasında dolaşan veriler şifrelenmez. İşlerin daha da kötüye gitmesini sağlamak için, Bitdefender ayrıca ağ kimlik bilgilerinin mobil uygulamadan kameraya doğru düz metin olarak gönderildiğini tespit etti.

Mobil uygulama cihaza uzaktan bağlandığında, yerel ağın dışından, Temel Erişim Kimlik Doğrulaması olarak bilinen bir güvenlik mekanizması aracılığıyla kimlik doğrulaması yapar. Günümüzün güvenlik standartlarına göre, bu, SSL gibi harici bir güvenli sistem ile birlikte kullanılmadıkça, güvensiz bir kimlik doğrulama yöntemi olarak kabul edilir. Kullanıcı adları ve şifreler, aktarılan bir Base64 şemasıyla kodlanmış, şifrelenmemiş bir biçimde kablo üzerinden geçirilir.

Sonuç olarak, bir saldırgan aynı MAC adresine sahip farklı bir cihazı kaydederek orijinal cihazı taklit edebilir. Sunucu, en son kaydedilen cihaza bağlanacak ve mobil uygulama da bağlanacaktır. Bu şekilde saldırganlar web kamerasının şifresini yakalayabilirler.

Herkes, kullanıcının istediği gibi uygulamayı kullanabilir. Bu, ebeveynler çocuklarınızın yatak odasından gerçek zamanlı görüntülere erişemediğinde veya rahatsız edilmeden, çocuklarınızla iletişim kurmak için ses, mikrofon ve hoparlörleri açmak anlamına gelir. Açıkçası, bu son derece invaziv bir cihazdır ve uzlaşması korkutucu sonuçlara yol açar.

Gizlilik ihlallerini önlemek için, bir IoT cihazı satın almadan önce kapsamlı bir araştırma yapın ve gizlilik sorunlarını ortaya çıkarabilecek çevrimiçi yorumları okuyun. İkincisi, Bitdefender'ın Kutusu gibi IoT'ler için bir siber güvenlik aracı kurun. Bu araçlar ağı tarayacak ve kimlik avı saldırılarını ve diğer tehditleri engelleyecektir.