Som ny forælder ønsker du kun det bedste for din glæde.
Hvis din baby vågner om natten og græder til fodring, skal du sandsynligvis ikke bekymre dig om din påklædningstilstand (eller afklæde), når du reagerer.
Bare vær opmærksom på, at hvis du bruger en iBaby Monitor M6S til at holde øje med den lille, kan du muligvis stille et gratis show til totalt fremmede.
Forskere ved Bitdefender opdagede flere sikkerhedsproblemer med denne enhed, der gjorde det muligt for hackere at få fat i gemte billeder eller videoer, se live video og endda fange dine personlige oplysninger.
Mest chokerende af alle, enhver, der har en af ??disse enheder og de nødvendige netværksfærdigheder, kan få adgang til skylagrede videoer og billeder, der er uploadet af alle andre babymonitorer af samme type.
Denne opdagelse er resultatet af et løbende partnerskab mellem Daxdi og Internet of Things-sikkerhedsteamet på Bitdefender.
Vi giver Bitdefender-teamet oplysninger om, hvilke enheder der er populære og derfor er vigtige at teste.
De sætter enhederne igennem anstrengende praktisk analyse og leder efter sårbarheder, som hackere kunne udnytte.
Før de (og vi) afslører resultaterne af denne test, giver de enhedens producent 90 dage til at komme med et middel.
Da vi rapporterede om et sikkerhedshul, som Bitdefender opdagede i den populære Ring Video Doorbell, kom Ring med en løsning og skubbede den ud for at beskytte berørte enheder.
Ligeledes løste Belkin den sårbarhed, som Bitdefender-teamet fandt i sin Wemo Smart Plug.
Det var nøjagtigt det, vi håbede på med dette partnerskab - ikke offentlig skam fra enhedsproducenterne, men forbedret sikkerhed for vores læsere, der bruger IoT-enheder.
Ak, situationen med iBaby har ikke den samme lykkelige slutning.
Bitdefender rapporterede problemerne til iBaby's udviklere i maj 2019, men de fik aldrig noget svar.
De gav udviklerne mere end de normale 90 dage til at komme med en løsning, men informerede dem til sidst om, at forskningen ville blive præsenteret under RSA-konferencen i San Francisco.
Uden svar fra iBaby er forskningen nu offentlig, og problemet forbliver.
For en mere detaljeret nedbrydning af problemet kan du gå til Bitdefenders blogindlæg.
Og hvis du selv vil eksperimentere med sårbarheden (forbliver selvfølgelig inden for loven), tilbyder Bitdefenders whitepaper de fulde detaljer, de samme detaljer, som de leverede til iBaby's udviklere for cirka ni måneder siden.
Alle dine babyvideoer tilhører os
Som et stort antal andre virksomheder er iBaby afhængig af Amazon Web Services til cloud storage.
Når iBaby-enheden sender en advarsel, fordi din baby bevæger sig rundt eller begynder at græde, uploader den et videoklip til skyen.
Alarmer er beskyttet med en hemmelig nøgle og en adgangs-id-nøgle.
Det lyder sikkert, ikke?
Problemet er, at de to taster ikke bare giver skærmen adgang til dine egne skydata; de lader dig se alles data.
Bitdefenders IoT-guide Alex “Jay” Balan forklarede det med en simpel analogi.
Sig, at du har gemt personlige data på et websted på www.example.com/pathto/myfiles.
Du bør ikke være i stand til at besøge www.example.com/pathto og få en liste over alle andres filer.
Og du burde absolut ikke være i stand til at oprette en URL som www.example.com/pathto/otherfiles og komme ind i en anden persons filer.
Men det er bare den slags adgang, iBabys forkert konfigurerede cloud-opbevaringstilladelser (selvom processen ikke er så enkel som bare at ændre en URL.)
Det betyder, at enhver ne'er-do-well kan købe en iBaby-skærm og bruge den til at få adgang til filer fra hver iBaby-skærm.
Utrolig? Tro på det.
Af juridiske grunde fik Bitdefender-forskerne ikke adgang til data, der tilhører andre virkelige brugere.
I stedet oprettede de en anden testenhed og bekræftede adgang.
Dette er chokerende nok til, at jeg bliver nødt til at sige det igen.
Ethvert netværk, der har adgang til en af ??disse babymonitorer, kan bruge det til at få adgang til alle skyopbevarede videoer og billeder fra alle andre babymonitorer af samme type.
Bitdefender advarede producenten og gav dem flere gange den sædvanlige periode på 90 dage før offentliggørelse, men i skrivende stund har der ikke været noget svar.
Fortæl mig alt
IBaby-skærmen bruger en protokol kaldet MQTT (MQ Telemetry Transport) til kommunikation med for eksempel sin smartphone-app.
Det sender information til MQTT-serveren, og andre enheder abonnerer på specifikke emner for at modtage disse oplysninger.
Konfigureret korrekt vil serveren kun sende nødvendige data til hver enhed eller proces.
Som med skyopbevaringssystemet er iBabys serverkonfiguration imidlertid for løs.
Bitdefenders eksperter fandt ud af, at de med abonnement fra en iBaby-skærm kunne abonnere på hver emne fra hveriBaby-skærm.
Hvert stykke information leveres med kameraets ID, som kan misbruges.
En snoop kunne hente kamera-id'et, bruger-id'et, til / fra-status og mere.
Men konsekvenserne af denne servers blabbing slutter ikke der.
Konfigurationsindtrængning
For mange enheder går konfigurationen sådan som denne.
Du aktiverer konfigurationstilstanden ved at trykke på en speciel knap på enheden.
Det bliver midlertidigt et usikret Wi-Fi-hotspot.
Du logger ind på hotspotet med din mobiltelefon og giver det derefter legitimationsoplysningerne til dit hjemmenetværk.
I det øjeblik kunne en hacker, der overvåger dit netværk, fange din Wi-Fi-adgangskode og dermed få adgang til dit netværk.
Ring løste problemet ved blot at gøre det midlertidige Wi-Fi-hotspot til en krypteret forbindelse.
IBaby-enheden fungerer lidt anderledes.
Du tilslutter den til din smartphone ved hjælp af et USB-kabel og bruger den tilknyttede app til at starte Wi-Fi-deling.
Imidlertid er konfigurationsprocessen afhængig af MQTT-serveren, som, som vi har set, ikke er korrekt sikret.
Hvis en hacker, der overvåger den server, registrerer en konfigurationshændelse, er det en katastrofe.
Ifølge Bitdefenders hvidbog, “Hvis en hacker overvåger MQTT-serveren, når en bruger konfigurerer et kamera, lækkes kritisk information til angriberen.” De kunne derefter streame eller optage video fra enheden, tage skærmbilleder eller endda afspille musik på hej, lille, klar til noget Death Metal?
Anbefalet af vores redaktører
Den enkle løsning? Ret bare sikkerheden på de involverede servere.
Vi taler ikke om at udvikle en firmware-patch og skubbe den ud til alle enheder, sådan som Ring skulle gøre.
Det er svært at forestille sig, hvorfor iBaby endnu ikke har løst både dette problem og konfigurationsproblemerne med deres skydata.
Yderligere problemer
Et andet sikkerhedsproblem fundet af Bitdefenders forskere er ikke helt så dystre.
Ved hjælp af det, der kaldes en indirekte objektreference (IDOR), kan en angriber udtrække nogle personlige oplysninger om den forælder, der har installeret det.
Disse inkluderer e-mail-adresse, navn, placering og endda profilbillede.
Den samme teknik kan hente tidsstempler for hver gang forældrene fjernadgang til kameraet.
Dette angreb kræver, at du kender id'et på det kamera, du vil raidere for data.
Bitdefender-teamet påpeger imidlertid, at en angriber, der har fået fjernbetjening af enheden, let kan få id'et.
Derudover inkluderer de skylagrede data kamera-ID-oplysninger.
Denne babymonitor har brug for en ændring
IBaby Monitor M6S gør et godt stykke arbejde med at hjælpe forældre med at holde øje med deres elskede tykes.
Det ser glat ud, optager 1080p-video, tillader tovejskommunikation og understøtter panorering og vipning.
Baseret på disse fremragende funktioner betragtede vi det som et fremragende produkt, der var værd at blive navngivet Editors 'Choice.
I lyset af dens sikkerhedsmæssige fejl vurderer vi dog vores vurdering og anbefaling.
