Alvorlig sikkerhedsbrist i babyalarm kan give fremmede adgang til videooptagelser
Mange forældre har set fidusen i at anskaffe sig en babyalarm med video, der giver dem mulighed for at holde et øje på deres barn, når det for eksempel sover i et rum for sig selv. En ny rapport fra IT-sikkerhedsvirksomheden Bitdefender afslører en række sikkerhedshuller i iBaby Monitor M6S, der øger risikoen for, at hjemmets private optagelser tilgås af tredjeparter.
“De sårbarheder, vi har fundet i iBaby-kameraet, gør det muligt for en hacker at få adgang til kameraets billeder, videooptagelser og private oplysninger, såsom brugerens mailadresse, navn, placering og profilbillede,” fortæller Chief Security Researcher, Alexandru “Jay” Balan, der er ekspert i digitale trusler hos Bitdefender.
Fjernadgang til personlige informationer og videoindhold
Ejer man en iBaby Monitor M6S, er der en række risici forbundet med, at produktet er opkoblet til internettet - hvilket er nødvendigt for kameraets funktionalitet. En af fejlene i produktets sikkerhed gør det muligt for hackere at få adgang til filer i systemets AWS bucket, en enhed hvori systemets data opbevares. Det skyldes at kameraet bruger en hemmelig nøgle og et adgangsnøgle-ID, når det uploader en alarmering (lyd og billede) til skyen, og disse nøgler kan misbruges til at vise al indhold i lagringssystemet og downloade videoer og billeder fra kameraer med alarmering aktiveret. Kort sagt risikerer man, at en hacker får adgang til alle brugerens alarmer i form af video og billeder, under visse forhold får fjernadgang til ethvert kamera eller tilgår private informationer om brugeren.
På trods af Bitdefender’s indsats har det ikke været muligt at komme i kontakt med udbyderen med henblik på at lukke eller begrænse hullerne i sikkerheden.
Det er ikke første gang, at der afsløres sikkerhedsbrister i babyalarmer med videoovervågning eller andre internetopkoblede produkter. Gang på gang har sikkerhedsforskere fundet huller i IT-sikkerheden på denne typer internetopkoblede produkter. Det bekræfter Alexandru “Jay” Balan:
“Nu har vi undersøgt iBaby Monitor M6S, fordi det er et populært internetopkoblet produkt. Der er uden tvivl utallige andre IoT-enheder, der med stor sandsynlighed er mindst lige så sårbare, som bare ikke er blevet afsløret endnu.
Faktaboks: Beskyt familien mod ubudne gæster
Vil du beskytte familien mod ubudne gæster på netværket, der roder i jeres private filer, uden at skulle gå ned på udstyr, giver Bitdefender en række gode råd til, hvordan du nemt kan sikre familien bedre mod hackere:
- Hold altid din software opdateret: Om det er en telefon, computer eller babyalarm er det altid en god idé at lytte til sin enhed, når den beder om at få installeret en softwareopdatering. Blandt andet kan opdateringen indeholde vigtige softwareændringer, der lukker sikkerhedshuller i produktet.
- Anvend to-faktor-godkendelse: Med to-faktor-godkendelse anvendes en separat enhed til at bekræfte din identitet, når du logger ind på en enhed eller konto. For eksempel kan du bekræfte din identitet, når du skal logge ind på en konto, ved at få tilsendt en bekræftelseskode til din telefon. Husk altid at anvende forskellige og svære kodeord på dine enheder og onlinekonti.
- Scan hjemmets enheder: Bitdefender tilbyder et gratis redskab til scanning af hjemmets enheder og generelle sikkerhed. Bitdefender Home Scanner leder efter sårbare enheder og kodeord på dit netværk og giver gode råd til, hvordan du kan forbedre sikkerheden.
Yderligere information om sårbarhederne i iBaby Monitor M6S:
- Det er ikke muligt at aflytte HTTPS-forbindelsen med Amazon cloud, fordi certifikatet er valideret. Desværre er Amazons bucket-funktion (AWS bucket), hvor kameraets filer uploades og opbevares, ikke sat ordentligt op af iBaby Monitor M6S' udbyder. I dette tilfælde er nøglen og initialiseringsvektoren (IV) til kryptering af dataen forudsigelige og kan anskaffes ved kun at kende kameraets ID. Fordi forespørgslerne på produktets server indeholder kameraets ID i plaintext, kan dataen nemt dekrypteres.
- Bitdefender fandt ud af, at nøgle-ID’er kan bruges til at få fuldt overblik over alle lagrede filer og til at downloade ethvert billede- eller videomateriale fra kameraer med alarmeringsfunktionen aktiveret.
- Kameraets MQTT-forbindelse er opsat med TLS og certifikatvalidering. Problemet er, at legitimationsoplysningerne, der opbevares på kameraet, kan anvendes til at abonnere på alle emner på serveren og ikke kun dem, der handler om det specifikke kamera.
- Serveren lækker kameraets ID’er, brugerens ID’er og kameraets status (tændt/slukket). Fordi kameraets opsætning arbejder på den førnævnte sårbare server, lækkes informationen om kameraet ved opsætningen.
Kontakter
Thomas Endelt
Konsulent, Frontpage
M: thomas.endelt@frontpage.dk
T: +45 50 70 53 34
Vedhæftede filer
Information om Bitdefender
Om Bitdefender
Bitdefender er et globalt cybersikkerhedsfirma, der leverer avancerede og omfattende sikkerhedsløsninger og trusselsbeskyttelse til mere end 500 millioner brugere i mere end 150 lande. Siden 2001 har Bitdefenders innovation konsekvent leveret prisbelønnede sikkerhedsprodukter og threat intelligence til det smarte forbundne hjem, mobilbrugere, moderne virksomheder og deres netværk, enheder, datacentre og cloud infrastruktur. I dag er Bitdefender en foretrukken leverandør, der er integreret i over 38% af verdens sikkerhedsløsninger. Bitdefender er anerkendt af industrien, respekteret af leverandører, forkyndt af kunder og er den cybersikkerhedsvirksomhed, du kan stole på.
Følg pressemeddelelser fra Bitdefender
Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.
Flere pressemeddelelser fra Bitdefender
Bitdefenders fem forudsigelser for trusselslandskabet i 202227.12.2021 06:00:00 CET | Pressemeddelelse
2021 er ved at nå sin ende. Derfor har Bitdefenders eksperter sat sig ned og set frem imod de trusler, som de forventer vil præge 2022.
Advarsel: Bitdefender observerer, at angreb udnytter ny kritisk sårbarhed14.12.2021 13:01:45 CET | Pressemeddelelse
En ny sårbarhed i Log4j, der er en del af Apache Logging Services, er allerede blevet brugt i en række igangværende angreb, der bl.a. omfatter forsøg på at sprede ransomware, botnets og kryptokapringer. Det fortæller cybersikkerhedsfirmaet Bitdefender.
44% af danske iPhone-ejere bruger ikke antivirus14.12.2021 06:00:00 CET | Pressemeddelelse
Cybersikkerhedsfirmaet Bitdefenders seneste undersøgelse blandt danske respondenter, viser, at 44% af iPhone-brugere ikke har installeret nogen sikkerhedsløsning. “At iPhones ikke behøver beskyttelse, er desværre en meget farlig myte,” fortæller Bitdefenders ekspert.
Mange danske børn har fri adgang til digitale enheder6.12.2021 06:00:00 CET | Pressemeddelelse
Ifølge cybersikkerhedsfirmaet Bitdefenders seneste undersøgelse havde næsten en fjerdedel af de danske respondenters børn fri adgang til digitale enheder. Bitdefenders sikkerhedsekspert kommer derfor med syv tegn på, når der er brug for at sætte ind med forældrekontrol.
Sådan undgår du cyber-svindel på Black Friday23.11.2021 15:00:00 CET | Pressemeddelelse
Black Friday, Cyber Monday og decembers juleindkøb er nok den mest profitable tid på året for cyberkriminelle, der forsøger at narre folk på udkig efter gode tilbud. Derfor kommer Bitdefenders sikkerhedsekspert her med en række gode råd til, hvordan du undgår at falde i svindlernes mange fælder.