Babyalarm kan give adgang til videooptagelser
Holder du øje med dit sovende barn med en kameraudstyret babyalarm, er der måske andre, der kigger med.
Forskere i IT-sikkerhed hos Bitdefender har afsløret en række alvorlige sikkerhedshuller i babyalarmen iBaby Monitor M6S, der muliggør ekstern adgang til, blandt andet, kameraets optagelser.
Artiklen fortsætter under videoen
Mange forældre har set fidusen i at anskaffe sig en babyalarm med video, der giver dem mulighed for at holde et øje på deres barn, når det for eksempel sover i et rum for sig selv.
En ny rapport fra IT-sikkerhedsvirksomheden Bitdefender afslører en række sikkerhedshuller i iBaby Monitor M6S, der øger risikoen for, at hjemmets private optagelser tilgås af tredjeparter.
– De sårbarheder, vi har fundet i iBaby-kameraet, gør det muligt for en hacker at få adgang til kameraets billeder, videooptagelser og private oplysninger, såsom brugerens mailadresse, navn, placering og profilbillede, fortæller Chief Security Researcher, Alexandru “Jay” Balan, der er ekspert i digitale trusler hos Bitdefender.
Fjernadgang til personlige informationer og videoindhold
Ejer man en iBaby Monitor M6S, er der en række risici forbundet med, at produktet er opkoblet til internettet – hvilket er nødvendigt for kameraets funktionalitet.
En af fejlene i produktets sikkerhed gør det muligt for hackere at få adgang til filer i systemets AWS bucket, en enhed hvori systemets data opbevares. Det skyldes at kameraet bruger en hemmelig nøgle og et adgangsnøgle-ID, når det uploader en alarmering (lyd og billede) til skyen, og disse nøgler kan misbruges til at vise al indhold i lagringssystemet og downloade videoer og billeder fra kameraer med alarmering aktiveret.
Kort sagt risikerer man, at en hacker får adgang til alle brugerens alarmer i form af video og billeder, under visse forhold får fjernadgang til ethvert kamera eller tilgår private informationer om brugeren.
Ikke første gang
På trods af Bitdefender’s indsats har det ikke været muligt at komme i kontakt med udbyderen med henblik på at lukke eller begrænse hullerne i sikkerheden.
Det er ikke første gang, at der afsløres sikkerhedsbrister i babyalarmer med videoovervågning eller andre internetopkoblede produkter. Gang på gang har sikkerhedsforskere fundet huller i IT-sikkerheden på denne typer internetopkoblede produkter. Det bekræfter Alexandru “Jay” Balan:
– Nu har vi undersøgt iBaby Monitor M6S, fordi det er et populært internetopkoblet produkt. Der er uden tvivl utallige andre IoT-enheder, der med stor sandsynlighed er mindst lige så sårbare, som bare ikke er blevet afsløret endnu.
Yderligere information om sårbarhederne i iBaby Monitor M6S:
Det er ikke muligt at aflytte HTTPS-forbindelsen med Amazon cloud, fordi certifikatet er valideret. Desværre er Amazons bucket-funktion (AWS bucket), hvor kameraets filer uploades og opbevares, ikke sat ordentligt op af iBaby Monitor M6S’ udbyder. I dette tilfælde er nøglen og initialiseringsvektoren (IV) til kryptering af dataen forudsigelige og kan anskaffes ved kun at kende kameraets ID. Fordi forespørgslerne på produktets server indeholder kameraets ID i plaintext, kan dataen nemt dekrypteres.
Bitdefender fandt ud af, at nøgle-ID’er kan bruges til at få fuldt overblik over alle lagrede filer og til at downloade ethvert billede- eller videomateriale fra kameraer med alarmeringsfunktionen aktiveret.
Kameraets MQTT-forbindelse er opsat med TLS og certifikatvalidering. Problemet er, at legitimationsoplysningerne, der opbevares på kameraet, kan anvendes til at abonnere på alle emner på serveren og ikke kun dem, der handler om det specifikke kamera.
Serveren lækker kameraets ID’er, brugerens ID’er og kameraets status (tændt/slukket). Fordi kameraets opsætning arbejder på den førnævnte sårbare server, lækkes informationen om kameraet ved opsætningen.