Bitfedender hat kürzlich schwerwiegende Datenschutzlücken in IoT-Kameras entdeckt, die es Hackern ermöglichen, diese Geräte zu entführen und in vollwertige Spionagetools zu verwandeln.

Die von Bitdefender analysierte Kamera wird von vielen Familien und kleinen Unternehmen zu Überwachungszwecken verwendet. Das Gerät verfügt über Standardüberwachungsfunktionen wie ein Bewegungs- und Geräuscherkennungssystem, Zweiwege-Audio, ein eingebautes Mikrofon und Lautsprecher sowie Temperatur- und Feuchtigkeitssensoren.

Die Sicherheitslücken können während des Verbindungsprozesses leicht ausgenutzt werden. Die IoT-Kamera erstellt während der Konfiguration über ein drahtloses Netzwerk einen Hotspot. Nach der Installation stellt die entsprechende mobile Anwendung eine Verbindung zum Hotspot des Geräts her und stellt automatisch eine Verbindung dazu her. Der App-Benutzer gibt dann die Anmeldeinformationen ein und der Einrichtungsvorgang ist abgeschlossen.

Das Problem ist, dass der Hotspot geöffnet ist und kein Kennwort erforderlich ist. Darüber hinaus werden die zwischen der mobilen Anwendung, der IoT-Kamera und dem Server zirkulierenden Daten nicht verschlüsselt. Außerdem hat Bitdefender festgestellt, dass die Netzwerkanmeldeinformationen von der mobilen App im Klartext an die Kamera gesendet werden.

Wenn die mobile App von außerhalb des lokalen Netzwerks eine Remoteverbindung mit dem Gerät herstellt, erfolgt die Authentifizierung über einen Sicherheitsmechanismus, der als Standardzugriffsauthentifizierung bezeichnet wird. Nach heutigen Sicherheitsstandards wird dies als unsichere Authentifizierungsmethode angesehen, es sei denn, dies wird in Verbindung mit einem externen sicheren System wie SSL verwendet. Benutzernamen und Kennwörter werden unverschlüsselt und mit einem Base64-Schema verschlüsselt übertragen.

Infolgedessen kann ein Angreifer die Identität des Originalgeräts annehmen, indem er ein anderes Gerät mit derselben MAC-Adresse registriert. Der Server stellt eine Verbindung mit dem zuletzt registrierten Gerät her, ebenso wie die mobile App. Auf diese Weise können Angreifer das Kennwort der Webcam erfassen.

Jeder kann die App genauso nutzen wie der Benutzer. Dies bedeutet, dass Sie Audio, Mikrofon und Lautsprecher einschalten, um mit Kindern zu kommunizieren, während die Eltern nicht in der Nähe sind, oder ungestörten Zugang zu Echtzeit-Filmmaterial aus dem Kinderzimmer haben. Dies ist eindeutig ein äußerst invasives Gerät, und sein Kompromiss führt zu furchterregenden Konsequenzen.

Um Datenschutzverletzungen zu vermeiden, sollten Sie vor dem Kauf eines IoT-Geräts gründliche Nachforschungen anstellen und Online-Bewertungen lesen, die möglicherweise Datenschutzprobleme aufzeigen. Zweitens: Installieren Sie ein Cybersicherheitstool für IoTs, z. B. Bitdefender's Box. Diese Tools scannen das Netzwerk und blockieren Phishing-Angriffe und andere Bedrohungen.