Kamakailan-lamang na nakita ng Bitfedender ang mga pangunahing kahinaan sa privacy sa mga IoT camera na nagpapahintulot sa mga hacker na mag-hijack at i-on ang mga aparatong ito sa ganap na mga tool sa tiktik.

Ang camera na sinuri ng Bitdefender ay ginagamit para sa mga layunin ng pagsubaybay ng maraming pamilya at maliliit na negosyo. Kasama sa aparato ang mga karaniwang tampok na pagsubaybay, tulad ng isang sistema ng paggalaw at tunog ng pagtuklas, dalawang-daan na audio, built-in na mikropono at tagapagsalita, at mga sensor ng temperatura at kahalumigmigan.

Ang mga kahinaan sa seguridad ay madaling mapagsamantala sa proseso ng koneksyon. Ang IoT camera ay lumilikha ng isang hotspot sa panahon ng pagsasaayos sa pamamagitan ng isang wireless network. Kapag na-install, ang kaukulang mobile application ay nagtatatag ng isang koneksyon sa hotspot ng aparato at awtomatikong kumokonekta dito. Pagkatapos ay ipinapakilala ng gumagamit ng app ang mga kredensyal at kumpleto ang proseso ng pag-setup.

Ang problema ay bukas ang hotspot at hindi kinakailangan ang password. Bukod dito, ang data na nagpapalipat-lipat sa pagitan ng mobile application, ang IoT camera at server ay hindi naka-encrypt. At upang mapalala ang mga bagay, nakita din ng Bitdefender na ang mga kredensyal ng network ay ipinadala sa simpleng teksto mula sa mobile app hanggang sa camera.

Kapag kumokonekta ang mobile app nang malayuan sa aparato, mula sa labas ng lokal na network, nagpapatunay ito sa pamamagitan ng isang mekanismo ng seguridad na kilala bilang isang Basic Access Authentication. Sa pamamagitan ng mga pamantayan sa seguridad ngayon, ito ay itinuturing na isang hindi secure na pamamaraan ng pagpapatunay, maliban kung ginamit kasabay ng isang panlabas na ligtas na sistema tulad ng SSL. Ang mga username at password ay ipinasa sa pamamagitan ng kawad sa isang hindi naka-encrypt na format, na naka-encode na may isang base64 scheme sa transit.

Bilang isang resulta, ang isang umaatake ay maaaring ibagay ang tunay na aparato sa pamamagitan ng pagrehistro ng ibang aparato, na may parehong MAC address. Makakonekta ang server sa aparato na nakarehistro nang huling, at ganoon din ang mobile app. Sa ganitong paraan, maaaring makuha ng mga umaatake ang password ng webcam.

Kahit sino ay maaaring gumamit ng app, tulad ng nais ng gumagamit. Nangangahulugan ito na i-on ang audio, mic at speaker upang makipag-usap sa mga bata habang ang mga magulang ay wala sa paligid o pagkakaroon ng hindi nababagabag na pag-access sa footage ng real-time mula sa silid-tulugan ng iyong mga anak. Maliwanag, ito ay isang labis na nagsasalakay na aparato, at ang kompromiso nito ay humahantong sa nakakatakot na mga kahihinatnan.

Upang maiwasan ang mga paglabag sa privacy, gumawa ng isang masusing pananaliksik bago bumili ng isang IoT aparato at basahin ang mga online na pagsusuri na maaaring ihayag ang mga isyu sa privacy. Pangalawa, mag-install ng isang tool sa cybersecurity para sa IoTs, tulad ng Box ng Bitdefender. Ang mga tool na ito ay i-scan ang network at harangan ang mga pag-atake sa phishing at iba pang mga banta.