असुरक्षित IoT वीडियो डोरबेल

IoT वीडियो डोरबेल्स में सॉफ़्टवेयर बग अनधिकृत पहुँच और नियंत्रण प्रदान कर सकते हैं। डेवलपर्स, निर्माता और प्लेटफ़ॉर्म प्रदाता एक सामान्य सुरक्षा दायित्व साझा करते हैं। 

डू-इट-योरसेल्फ वीडियो डोरबेल्स, जैसे हमेशा-ऑन एसएमबी द्वारा उपयोग की जाती हैं, को हैकर्स द्वारा हाईजैक किया जा सकता है। IoT सिस्टम को विकसित करने में गलतियों के अप्रत्याशित परिणाम होते हैं। हमला किया गया सिस्टम उस गोपनीयता का उल्लंघन कर सकता है जिसकी उन्हें रक्षा करनी चाहिए। केवल सुरक्षा विशेषज्ञों, प्लेटफ़ॉर्म डेवलपर्स और उत्पाद निर्माताओं का सहयोग ही डिजिटल इंटरकॉम को सुरक्षित करता है।

क्लाउड-आधारित वीडियो इंटरकॉम

उपयोगकर्ता लाइफशील्ड जैसे क्लाउड-आधारित वीडियो इंटरकॉम के माध्यम से दरवाजे पर आगंतुकों से बात करते हैं। आप घर से लाइव छवियों पर भी भरोसा कर सकते हैं जो आपके दूर होने पर हर जगह उपलब्ध होती हैं। हालाँकि, ऐसे IoT प्रसाद साइबर अपराधियों के लिए एक संभावित लक्ष्य भी हैं। बिटडेफेंडर के सुरक्षा विशेषज्ञों के अनुसार, ADT ने हाल ही में अपने लाइफशील्ड सिस्टम में सुरक्षा अंतराल को बंद करने के लिए 1.500 उपकरणों को पैच किया। यह ऐसे IoT उपकरणों के वर्तमान खतरों को दर्शाता है, जिनकी सुरक्षा अभी भी वांछित होने के लिए बहुत कुछ छोड़ देती है।

IoT सिस्टम में प्रकट जोखिम

कैमरे के व्यवस्थापक पासवर्ड का खुलासा

घंटी ने अपने मैक पते से केंद्रीय सर्वर पर खुद की पहचान की। क्लाउड प्लेटफॉर्म ने रिंगर को प्रमाणित करने के लिए एक बुनियादी प्रक्रिया का इस्तेमाल किया। उपयोगकर्ता नाम शुरू में "कैमरा0" था और पासवर्ड उपयोगकर्ताओं को डिवाइस सेट करते समय दिया गया था। कॉन्फ़िगरेशन चरण में, सर्वर ने संबंधित संदेशों को स्वीकार किया और उनका जवाब दिया। उन्होंने प्राधिकरण शीर्षलेख को अनदेखा कर दिया क्योंकि कोई पासवर्ड असाइन नहीं किया गया था। लेकिन सेटअप पूरा होने के बाद भी और एक्सेस कोड बनाया गया था, सर्वर ने शुरू में डिवाइस के लिए अंतिम ज्ञात एक्सेस डेटा का खुलासा करते हुए गलत एक्सेस डेटा के अनुरोधों का जवाब देना जारी रखा: अंततः, हैकर्स केवल कैमरे के मैक पते का उपयोग करने में सक्षम थे डोरबेल के इस अनुभव के लिए एडमिनिस्ट्रेटर पासवर्ड प्राप्त करने के लिए।

वेब पर शत्रुतापूर्ण अधिग्रहण

एक बुद्धिमान, क्लाउड-आधारित वीडियो डोरबेल इंटरनेट का एक इंटरफ़ेस है। वेब सर्वर के कुछ कार्यों - जैसे स्नैपशॉट लेना या जानकारी खोजना - के लिए प्रमाणीकरण की आवश्यकता नहीं थी। व्यवस्थापक इंटरफ़ेस को पासवर्ड द्वारा सुरक्षित किया गया था, लेकिन यह पिछले पैराग्राफ में बताए अनुसार पाया जा सकता है। इन क्रेडेंशियल्स के साथ और इंटरफ़ेस के माध्यम से, हैकर्स कमांड जारी कर सकते हैं और कमांड इंजेक्शन के माध्यम से रूट-लेवल एक्सेस प्राप्त कर सकते हैं।

आरटीएसपी सर्वर खोलें

डोरबेल कैमरा छवियों को पोर्ट 554 के माध्यम से रीयल टाइम स्ट्रीमिंग प्रोटोकॉल (आरटीएसपी) सर्वर तक पहुंचाता है। यह मार्ग प्रमाणीकरण के किसी भी रूप से सुरक्षित नहीं था। इसने बाहरी लोगों को किसी भी संगत मीडिया प्लेयर के साथ ऑडियो-वीडियो फीड चलाने की अनुमति दी।

इस तरह के हमले कई पार्टियों के साथ संपत्तियों में विशेष रूप से खतरनाक होते हैं, जैसे कि छोटी दुकानें या फ्लैट शेयरों वाली इमारतें, कई जमींदार या साझा कार्यालय। यहां, उसी वायरलेस नेटवर्क में और प्रभावित सिस्टम की सीमा के भीतर अन्य प्रतिभागी बातचीत पर ध्यान दे सकते हैं।

जोखिम कारक स्मार्ट होम आईओटी

अन्य निश्चित भेद्यताएँ स्मार्ट इमारतों में विशिष्ट IoT खतरों को प्रदर्शित करती हैं:

• 2019 में अमेज़ॅन से रिंग डोरबेल प्रो कैमरों के लिए एक सुरक्षा अद्यतन पहले से ही देय था क्योंकि एक पहुंच बिंदु पर पहचान की जांच अनएन्क्रिप्टेड एचटीटीपी के माध्यम से की गई थी। पहुँच के भीतर हैकर्स एक्सेस डेटा की जासूसी कर सकते थे।
• 2020 में, अगस्त स्मार्ट लॉक प्रो के विशेषज्ञों ने स्मार्ट डोर लॉक्स में कमजोरियां पाईं। इसने सभी संबद्ध संभावनाओं जैसे भंडारण, जासूसी, पासवर्ड चोरी करने के साथ-साथ धोखाधड़ी के उद्देश्यों के लिए डेटा या व्यक्तिगत जानकारी के साथ वाईफाई पासवर्ड चोरी करने में सक्षम बनाया।
• स्मार्ट इमारतों में क्लाउड-नियंत्रित रोशनी या स्वचालित कार्यों ने घर के मालिकों के लिए एक और जोखिम पैदा कर दिया। हैकर्स के पास स्मार्ट सॉकेट्स, लाइट बल्ब होल्डर्स और वॉल स्विच के लिए फर्मवेयर अपडेट प्रक्रिया को eWeLink प्लेटफॉर्म के माध्यम से नियंत्रित करने और दुर्भावनापूर्ण अपडेट इंजेक्ट करने का अवसर था। दोबारा, सर्वर द्वारा स्विच के लिए गलत तरीके से डिज़ाइन की गई प्रमाणीकरण प्रक्रिया जिम्मेदार थी। अंत में, हैकर को केवल एक वैध आईडी नंबर की जरूरत थी, जिसे हमलावर किसी भी स्मार्टफोन का उपयोग करके दर्ज कर सकते थे।

अमानक IoT दुनिया में विकास में ऐसी गलतियाँ आम हैं। सुरक्षा विशेषज्ञ प्रारंभिक चरण में निर्माताओं से संपर्क करते हैं, लेकिन अक्सर थोड़ी देर के बाद और कभी-कभी बिल्कुल नहीं - यहां प्रस्तुत मामलों के विपरीत।

सिद्धांत रूप में, इंटरनेट से जुड़ी किसी भी वस्तु को हैक किया जा सकता है। इसलिए उपयोगकर्ताओं को IoT उपकरणों की सख्ती से निगरानी करनी चाहिए और जहाँ तक संभव हो उन्हें स्थानीय या अतिथि नेटवर्क से अलग करना चाहिए - उदाहरण के लिए केवल IoT हार्डवेयर के लिए समर्पित SSID का उपयोग करके। निर्माता अपने सिस्टम को स्वचालित रूप से अपडेट करके सुरक्षा बढ़ाते हैं। यूजर्स को भी इसकी कद्र करनी चाहिए। इसके अलावा, आईटी सुरक्षा सेवाओं और सॉफ्टवेयर को IoT उपकरणों को भी स्कैन करना चाहिए। आधुनिक राउटर इस प्रकार IoT हार्डवेयर सहित निजी नेटवर्क की सुरक्षा कर सकते हैं।

कई श्वेत पत्र और तकनीकी रिपोर्ट और दस्तावेज ऑनलाइन उपलब्ध हैं:

• लाइफशील्ड भेद्यता (पीडीएफ)
• ई-लिंक (पीडीएफ) के बारे में जानकारी
• रिंग डोरबेल प्रो भेद्यताएं (पीडीएफ)
• अगस्त स्मार्ट लॉक प्रो भेद्यताएं

 

Bitdefender.com पर और जानें

 

---

बिटडेफेंडर के बारे में

बिटडेफ़ेंडर साइबर सुरक्षा समाधान और एंटीवायरस सॉफ़्टवेयर में वैश्विक अग्रणी है, जो 500 से अधिक देशों में 150 मिलियन से अधिक सिस्टम की सुरक्षा करता है। 2001 में इसकी स्थापना के बाद से, कंपनी के नवाचारों ने नियमित रूप से निजी ग्राहकों और कंपनियों के लिए उपकरणों, नेटवर्क और क्लाउड सेवाओं के लिए उत्कृष्ट सुरक्षा उत्पाद और बुद्धिमान सुरक्षा प्रदान की है। पसंद के आपूर्तिकर्ता के रूप में, बिटडेफ़ेंडर तकनीक दुनिया के तैनात सुरक्षा समाधानों के 38 प्रतिशत में पाई जाती है और उद्योग के पेशेवरों, निर्माताओं और उपभोक्ताओं द्वारा समान रूप से विश्वसनीय और मान्यता प्राप्त है। www.bitdefender.de

---

 

विषय से संबंधित लेख