Bitfedender ha detectado recientemente importantes vulnerabilidades de privacidad en las cámaras de IO que permiten a los hackers secuestrar y convertir estos dispositivos en herramientas de espionaje de pleno derecho.
La cámara analizada por Bitdefender es utilizada con fines de monitorización por muchas familias y pequeñas empresas. El dispositivo incluye características de monitoreo estándar, como un sistema de detección de movimiento y sonido, audio bidireccional, micrófono y altavoz integrados, y sensores de temperatura y humedad.
Las vulnerabilidades de seguridad pueden ser fácilmente explotadas durante el proceso de conexión. La cámara IoT crea una zona activa durante la configuración a través de una red inalámbrica. Una vez instalada, la aplicación móvil correspondiente establece una conexión con el hotspot del dispositivo y se conecta automáticamente a él. El usuario de la aplicación introduce las credenciales y el proceso de instalación se completa.
El problema es que el hotspot está abierto y no se requiere ninguna contraseña. Además, los datos que circulan entre la aplicación móvil, la cámara de IO y el servidor no están cifrados. Y para empeorar las cosas, Bitdefender también detectó que las credenciales de red se envían en texto plano desde la aplicación móvil a la cámara.
Cuando la aplicación móvil se conecta de forma remota al dispositivo, desde fuera de la red local, se autentica a través de un mecanismo de seguridad conocido como Autenticación de Acceso Básico. Según los estándares de seguridad actuales, esto se considera un método de autenticación inseguro, a menos que se utilice junto con un sistema seguro externo como SSL. Los nombres de usuario y las contraseñas se pasan a través de un cable en un formato no cifrado, codificado con un esquema Base64 en tránsito.
Como resultado, un atacante puede hacerse pasar por el dispositivo auténtico registrando un dispositivo diferente, con la misma dirección MAC.El servidor se conectará con el dispositivo que se registró por última vez, y también lo hará la aplicación móvil. De esta manera, los atacantes pueden capturar la contraseña de la cámara web.
Cualquiera puede usar la aplicación, como lo haría el usuario.Esto significa encender el audio, el micrófono y los altavoces para comunicarse con los niños mientras los padres no están presentes o tener acceso sin interrupciones a imágenes en tiempo real desde el dormitorio de sus hijos. Claramente, este es un dispositivo extremadamente invasivo, y su compromiso lleva a consecuencias aterradoras.
Para evitar violaciones de la privacidad, haga una investigación exhaustiva antes de comprar un dispositivo de IO y lea las revisiones en línea que puedan revelar problemas de privacidad. En segundo lugar, instale una herramienta de ciberseguridad para las IO, como Bitdefenders Box . Estas herramientas analizarán la red y bloquearán los ataques de phishing y otras amenazas.