Alvorlig sikkerhedsbrist i babyalarm kan give fremmede adgang til videooptagelser

Mange forældre har set fidusen i at anskaffe sig en babyalarm med video, der giver dem mulighed for at holde et øje på deres barn, når det for eksempel sover i et rum for sig selv. En ny rapport fra IT-sikkerhedsvirksomheden Bitdefender afslører en række sikkerhedshuller i iBaby Monitor M6S, der øger risikoen for, at hjemmets private optagelser tilgås af tredjeparter. 

“De sårbarheder, vi har fundet i iBaby-kameraet, gør det muligt for en hacker at få adgang til kameraets billeder, videooptagelser og private oplysninger, såsom brugerens mailadresse, navn, placering og profilbillede,” fortæller Chief Security Researcher, Alexandru “Jay” Balan, der er ekspert i digitale trusler hos Bitdefender.

Fjernadgang til personlige informationer og videoindhold

Ejer man en iBaby Monitor M6S, er der en række risici forbundet med, at produktet er opkoblet til internettet - hvilket er nødvendigt for kameraets funktionalitet. En af fejlene i produktets sikkerhed gør det muligt for hackere at få adgang til filer i systemets AWS bucket, en enhed hvori systemets data opbevares. Det skyldes at kameraet bruger en hemmelig nøgle og et adgangsnøgle-ID, når det uploader en alarmering (lyd og billede) til skyen, og disse nøgler kan misbruges til at vise al indhold i lagringssystemet og downloade videoer og billeder fra kameraer med alarmering aktiveret. Kort sagt risikerer man, at en hacker får adgang til alle brugerens alarmer i form af video og billeder, under visse forhold får fjernadgang til ethvert kamera eller tilgår private informationer om brugeren. 

På trods af Bitdefender’s indsats har det ikke været muligt at komme i kontakt med udbyderen med henblik på at lukke eller begrænse hullerne i sikkerheden.

Det er ikke første gang, at der afsløres sikkerhedsbrister i babyalarmer med videoovervågning eller andre internetopkoblede produkter. Gang på gang har sikkerhedsforskere fundet huller i IT-sikkerheden på denne typer internetopkoblede produkter. Det bekræfter Alexandru “Jay” Balan: 

“Nu har vi undersøgt iBaby Monitor M6S, fordi det er et populært internetopkoblet produkt. Der er uden tvivl utallige andre IoT-enheder, der med stor sandsynlighed er mindst lige så sårbare, som bare ikke er blevet afsløret endnu.

Faktaboks: Beskyt familien mod ubudne gæster

Vil du beskytte familien mod ubudne gæster på netværket, der roder i jeres private filer, uden at skulle gå ned på udstyr, giver Bitdefender en række gode råd til, hvordan du nemt kan sikre familien bedre mod hackere:

• Hold altid din software opdateret: Om det er en telefon, computer eller babyalarm er det altid en god idé at lytte til sin enhed, når den beder om at få installeret en softwareopdatering. Blandt andet kan opdateringen indeholde vigtige softwareændringer, der lukker sikkerhedshuller i produktet. 
• Anvend to-faktor-godkendelse: Med to-faktor-godkendelse anvendes en separat enhed til at bekræfte din identitet, når du logger ind på en enhed eller konto. For eksempel kan du bekræfte din identitet, når du skal logge ind på en konto, ved at få tilsendt en bekræftelseskode til din telefon. Husk altid at anvende forskellige og svære kodeord på dine enheder og onlinekonti.
• Scan hjemmets enheder: Bitdefender tilbyder et gratis redskab til scanning af hjemmets enheder og generelle sikkerhed. Bitdefender Home Scanner leder efter sårbare enheder og kodeord på dit netværk og giver gode råd til, hvordan du kan forbedre sikkerheden. 

Yderligere information om sårbarhederne i iBaby Monitor M6S:

1. Det er ikke muligt at aflytte HTTPS-forbindelsen med Amazon cloud, fordi certifikatet er valideret. Desværre er Amazons bucket-funktion (AWS bucket), hvor kameraets filer uploades og opbevares, ikke sat ordentligt op af iBaby Monitor M6S' udbyder. I dette tilfælde er nøglen og initialiseringsvektoren (IV) til kryptering af dataen forudsigelige og kan anskaffes ved kun at kende kameraets ID. Fordi forespørgslerne på produktets server indeholder kameraets ID i plaintext, kan dataen nemt dekrypteres.
2. Bitdefender fandt ud af, at nøgle-ID’er kan bruges til at få fuldt overblik over alle lagrede filer og til at downloade ethvert billede- eller videomateriale fra kameraer med alarmeringsfunktionen aktiveret. 
3. Kameraets MQTT-forbindelse er opsat med TLS og certifikatvalidering. Problemet er, at legitimationsoplysningerne, der opbevares på kameraet, kan anvendes til at abonnere på alle emner på serveren og ikke kun dem, der handler om det specifikke kamera. 
4. Serveren lækker kameraets ID’er, brugerens ID’er og kameraets status (tændt/slukket). Fordi kameraets opsætning arbejder på den førnævnte sårbare server, lækkes informationen om kameraet ved opsætningen.