Campainhas de vídeo IoT inseguras

22. Fevereiro 2021
| Sem comentários

Compartilhar postagem

Bugs de software em campainhas de vídeo IoT podem fornecer acesso e controle não autorizados. Desenvolvedores, fabricantes e provedores de plataforma compartilham uma obrigação de segurança comum. 

Campainhas de vídeo faça você mesmo, como as usadas por pequenas e médias empresas sempre ativas, podem ser invadidas por hackers. Erros no desenvolvimento dos sistemas IoT têm consequências inesperadas. Os sistemas atacados podem violar a privacidade que deveriam proteger. Somente a cooperação de especialistas em segurança, desenvolvedores de plataformas e fabricantes de produtos protege os intercomunicadores digitais.

Intercomunicadores de vídeo baseados em nuvem

Os usuários conversam com os visitantes na porta por meio de intercomunicadores de vídeo baseados em nuvem, como o LifeShield. Você também pode contar com as imagens ao vivo de casa que estão disponíveis em qualquer lugar quando você estiver ausente. No entanto, essas ofertas de IoT também são um alvo potencial para cibercriminosos. A ADT corrigiu recentemente 1.500 dispositivos para fechar brechas de segurança em seus sistemas LifeShield, de acordo com os especialistas em segurança da Bitdefender. Isso mostra os perigos atuais de tais dispositivos IoT, cuja segurança muitas vezes ainda deixa muito a desejar.

Riscos divulgados em sistemas IoT

Revelando a senha do administrador da câmera

A campainha se identificou no servidor central por seu endereço MAC. A plataforma de nuvem usou um procedimento básico para autenticar a campainha. O nome de usuário era inicialmente "camera0" e a senha era fornecida aos usuários quando eles configuravam o dispositivo. Na fase de configuração, o servidor aceitou e respondeu às mensagens associadas. Ele ignorou o cabeçalho de autorização porque nenhuma senha foi atribuída. Mas, mesmo depois de concluída a configuração e criado o código de acesso, o servidor inicialmente continuou a responder às solicitações com dados de acesso incorretos e, assim, divulgou os últimos dados de acesso conhecidos para o dispositivo: No final, os hackers só conseguiram usar o MAC da câmera endereço para criar a senha de administrador para esta experiência de campainha.

Aquisição hostil na web

Bogdan Botezatu, Chefe de Análise de Ameaças da Bitdefender

Bogdan Botezatu, Chefe de Análise de Ameaças da Bitdefender

Uma campainha de vídeo inteligente baseada em nuvem é uma interface para a Internet. Algumas das funções do servidor web - como tirar um instantâneo ou procurar informações - não exigiam autenticação. A interface do administrador era protegida por uma senha, mas isso pode ser descoberto conforme descrito no parágrafo anterior. Com essas credenciais e por meio da interface, os hackers podem emitir comandos e obter acesso no nível raiz por meio da injeção de comandos.

Servidores RTSP abertos

A câmera da campainha transmite as imagens para um servidor Real Time Streaming Protocol (RTSP) via porta 554. Esta rota não foi protegida por nenhuma forma de autenticação. Isso permitiu que pessoas de fora reproduzissem feeds de áudio e vídeo com qualquer reprodutor de mídia compatível.

Esses ataques são particularmente perigosos em propriedades com muitas partes, como pequenas lojas ou prédios com apartamentos compartilhados, muitos proprietários ou escritórios compartilhados. Aqui, outros participantes na mesma rede sem fio e dentro do alcance dos sistemas afetados podem escutar as conversas.

Fator de risco Smart Home IoT

Outras vulnerabilidades corrigidas demonstram ameaças típicas de IoT em edifícios inteligentes:

  • Uma atualização de segurança já estava prevista para as câmeras Ring Doorbell Pro da Amazon em 2019 porque a verificação de identidade em um ponto de acesso foi realizada via HTTP não criptografado. Os hackers ao alcance podem ter espionado os dados de acesso.
  • Em 2020, especialistas da August Smart Lock Pro encontraram vulnerabilidades em fechaduras inteligentes. Permitia roubar uma senha WiFi com todas as possibilidades associadas, como acesso ao armazenamento, espionagem, roubo de senhas, bem como dados ou informações pessoais para fins fraudulentos.
  • Luzes controladas por nuvem ou funções automáticas em edifícios inteligentes representam outro risco para os proprietários. Os hackers tiveram a oportunidade de controlar o processo de atualização de firmware para tomadas inteligentes, porta-lâmpadas e interruptores de parede por meio da plataforma eWeLink e injetar atualizações maliciosas. Novamente, um processo de autenticação projetado incorretamente para os switches pelo servidor foi o responsável. No final, tudo o que o hacker precisava era de um número de identificação válido, no qual os invasores poderiam entrar usando qualquer smartphone.

Esses erros no desenvolvimento são comuns no mundo IoT fora do padrão. Os especialistas em segurança entram em contato com os fabricantes em um estágio inicial, mas muitas vezes somente depois de um tempo e às vezes nem o fazem - ao contrário dos casos apresentados aqui.

Em princípio, qualquer objeto conectado à Internet pode ser hackeado. Os usuários devem, portanto, monitorar estritamente os dispositivos IoT e isolá-los das redes locais ou de convidados o máximo possível - por exemplo, usando um SSID dedicado apenas para hardware IoT. Os fabricantes aumentam a segurança atualizando automaticamente seus sistemas. Os usuários também devem valorizar isso. Além disso, os serviços e software de segurança de TI também devem verificar os dispositivos IoT. Os roteadores modernos podem, assim, proteger redes privadas, incluindo hardware IoT.

Vários white papers e relatórios técnicos e documentação estão disponíveis online:

 

Saiba mais em Bitdefender.com

 

Sobre o Bitdefender

A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Nova onda de phishing: invasores usam Adobe InDesign

Atualmente há um aumento nos ataques de phishing que abusam do Adobe InDesign, um sistema de publicação de documentos bem conhecido e confiável. ➡ Leia mais

Bitdefender, Stories