IoT ビデオ ドアベルのソフトウェア バグにより、不正なアクセスと制御が可能になります。 開発者、メーカー、およびプラットフォーム プロバイダーは、共通のセキュリティ義務を共有しています。
常時オンの SMB で使用されているような自作のビデオ ドアベルは、ハッカーに乗っ取られる可能性があります。 IoT システムの開発におけるミスは、予期しない結果をもたらします。 攻撃されたシステムは、本来保護すべきプライバシーを侵害する可能性があります。 セキュリティの専門家、プラットフォーム開発者、および製品メーカーの協力のみが、デジタル インターコムを保護します。
クラウドベースのビデオ インターホン
ユーザーは、LifeShield などのクラウドベースのビデオ インターホンを介して、玄関先で訪問者と会話します。 外出先でもどこでも利用できる自宅からのライブ画像を利用することもできます。 ただし、このような IoT 製品は、サイバー犯罪者の標的になる可能性もあります。 Bitdefender のセキュリティ専門家によると、ADT は最近、LifeShield システムのセキュリティ ギャップを埋めるために 1.500 台のデバイスにパッチを適用しました。 これは、そのようなIoTデバイスの現在の危険性を示しており、そのセキュリティにはまだ多くのことが望まれています.
IoT システムの開示リスク
カメラの管理者パスワードを明らかにする
ベルは、MAC アドレスによって中央サーバーで自身を識別しました。 クラウド プラットフォームは、呼び出し音を認証するために基本的な手順を使用しました。 ユーザー名は最初は「camera0」で、パスワードはユーザーがデバイスをセットアップしたときに与えられました。 構成フェーズで、サーバーは関連するメッセージを受け入れて応答しました。 パスワードが割り当てられていなかったため、彼は認証ヘッダーを無視しました。 しかし、セットアップが完了し、アクセス コードが作成された後でも、サーバーは最初は不正なアクセス データで要求に応答し続けたため、デバイスの最新の既知のアクセス データが開示されました。最終的に、ハッカーはカメラの MAC しか使用できませんでした。アドレスを入力して、このドアベル エクスペリエンスの管理者パスワードを作成します。
Web上の敵対的買収
Bitdefender の脅威分析責任者、Bogdan Botezatu 氏
インテリジェントなクラウドベースのビデオ ドアベルは、インターネットへのインターフェイスです。 スナップショットの取得や情報の検索など、Web サーバーの機能の一部は認証を必要としませんでした。 管理者インターフェースはパスワードで保護されていましたが、これは前の段落で説明したように発見できました。 これらの資格情報とインターフェイスを介して、ハッカーはコマンドを発行し、コマンド インジェクションを介してルート レベルのアクセスを取得できます。
RTSP サーバーを開く
ドアベル カメラは、ポート 554 経由でリアルタイム ストリーミング プロトコル (RTSP) サーバーに画像を送信します。このルートは、どの形式の認証によっても保護されていません。 これにより、部外者が互換性のあるメディア プレーヤーでオーディオ ビデオ フィードを再生できるようになりました。
このような攻撃は、小規模な店舗やフラットシェアのある建物、多くの家主や共有オフィスなど、多くの関係者がいる物件で特に危険です。 ここでは、同じワイヤレス ネットワーク内の、影響を受けるシステムの範囲内にある他の参加者が、会話を盗聴する可能性があります。
リスク要因 スマートホーム IoT
その他の修正された脆弱性は、スマート ビルディングにおける典型的な IoT の脅威を示しています。
- アクセスポイントでの ID チェックが暗号化されていない HTTP を介して実行されたため、2019 年に Amazon の Ring Doorbell Pro カメラのセキュリティ アップデートがすでに予定されていました。 手の届くところにいるハッカーが、アクセス データをスパイしていた可能性があります。
- 2020 年、August Smart Lock Pro の専門家がスマート ドア ロックの脆弱性を発見しました。 これにより、ストレージへのアクセス、スパイ、パスワードの盗用、詐欺目的でのデータや個人情報の盗用など、関連するすべての可能性を備えた WiFi パスワードを盗むことが可能になりました。
- スマート ビルディングのクラウド制御の照明や自動機能は、住宅所有者に別のリスクをもたらしました. ハッカーは、eWeLink プラットフォームを介してスマート ソケット、電球ホルダー、壁スイッチのファームウェア更新プロセスを制御し、悪意のある更新を挿入する機会を得ました. ここでも、サーバーによるスイッチの認証プロセスの設計が不適切でした。 最終的に、ハッカーに必要なのは有効な ID 番号だけで、攻撃者はどのスマートフォンでも入力できました。
このような開発ミスは、規格外の IoT の世界ではよくあることです。 セキュリティの専門家は早い段階でメーカーに連絡しますが、多くの場合しばらく経ってからであり、場合によってはまったく連絡しないこともあります。ここで紹介するケースとは異なります。
原則として、インターネットに接続されているすべてのオブジェクトがハッキングされる可能性があります。 そのため、ユーザーは IoT デバイスを厳密に監視し、ローカルまたはゲスト ネットワークから可能な限り隔離する必要があります。たとえば、IoT ハードウェア専用の SSID を使用するなどです。 メーカーは、システムを自動的に更新することでセキュリティを強化しています。 ユーザーもこれを大切にする必要があります。 さらに、IT セキュリティ サービスとソフトウェアも IoT デバイスをスキャンする必要があります。 したがって、最新のルーターは、IoT ハードウェアを含むプライベート ネットワークを保護できます。
いくつかのホワイト ペーパー、テクニカル レポート、およびドキュメントがオンラインで入手できます。
- LifeShield の脆弱性 (PDF)
- eWeLink に関する情報 (PDF)
- Ring Doorbell Pro の脆弱性 (PDF)
- XNUMX 月の Smart Lock Pro の脆弱性
Bitdefender.comで詳細をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de