Friendoffriends
Bitfedender a récemment détecté des vulnérabilités majeures de confidentialité dans les caméras IoT qui permettent aux pirates de détourner et de transformer ces appareils en outils d'espionnage à part entière.
La caméra analysée par Bitdefender est utilisée à des fins de surveillance par de nombreuses familles et petites entreprises. L'appareil comprend des fonctionnalités de surveillance standard, telles qu'un système de détection de mouvement et de son, un système audio bidirectionnel, un microphone et un haut-parleur intégrés et des capteurs de température et d'humidité.
Les vulnérabilités de sécurité peuvent facilement être exploitées pendant le processus de connexion. La caméra IoT crée un point d'accès lors de la configuration via un réseau sans fil. Une fois installée, l'application mobile correspondante établit une connexion avec le hotspot de l'appareil et s'y connecte automatiquement. L'utilisateur de l'application introduit ensuite les informations d'identification et le processus de configuration est terminé.
Le problème est que le hotspot est ouvert et qu'aucun mot de passe n'est requis. De plus, les données circulant entre l'application mobile, la caméra IoT et le serveur ne sont pas cryptées. Et pour aggraver les choses, Bitdefender a également détecté que les informations d'identification du réseau sont envoyées en texte brut de l'application mobile à la caméra..
Lorsque l'application mobile se connecte à distance à l'appareil, depuis l'extérieur du réseau local, elle s'authentifie via un mécanisme de sécurité appelé authentification d'accès de base. Selon les normes de sécurité actuelles, cela est considéré comme une méthode d'authentification non sécurisée, sauf si elle est utilisée en conjonction avec un système sécurisé externe tel que SSL. Les noms d'utilisateur et les mots de passe sont transmis par fil dans un format non chiffré, codés avec un schéma Base64 en transit.
En conséquence, un attaquant peut usurper l'identité de l'appareil authentique en enregistrant un appareil différent, avec la même adresse MAC. Le serveur se connectera à l'appareil qui s'est enregistré en dernier, tout comme l'application mobile. De cette manière, les attaquants peuvent capturer le mot de passe de la webcam.
Tout le monde peut utiliser l'application, comme le ferait l'utilisateur. Cela signifie activer l'audio, le micro et les haut-parleurs pour communiquer avec les enfants lorsque les parents ne sont pas là ou avoir un accès non perturbé aux images en temps réel de la chambre de vos enfants. De toute évidence, il s'agit d'un appareil extrêmement invasif, et son compromis entraîne des conséquences effrayantes.
Afin d'éviter les violations de la confidentialité, effectuez une recherche approfondie avant d'acheter un appareil IoT et lisez les avis en ligne susceptibles de révéler des problèmes de confidentialité. Deuxièmement, installez un outil de cybersécurité pour les IoT, tel que Bitdefender's Box. Ces outils analysent le réseau et bloquent les attaques de phishing et autres menaces.
