Als kersverse ouder wil je alleen het beste voor je bundel van vreugde.
Als uw baby 's nachts wakker wordt en huilt om voeding, hoeft u zich waarschijnlijk geen zorgen te maken over uw staat van kleding (of uitkleden) wanneer u reageert.
Houd er rekening mee dat als u een iBaby Monitor M6S gebruikt om de kleine in de gaten te houden, u mogelijk een gratis show geeft voor totale vreemden.
Onderzoekers bij Bitdefender ontdekten meerdere beveiligingsproblemen met dit apparaat waardoor hackers opgeslagen foto's of video's kunnen maken, live video kunnen bekijken en zelfs uw persoonlijke gegevens kunnen vastleggen.
Het meest schokkende van alles is dat iedereen met een van deze apparaten en de nodige netwerkvaardigheden toegang heeft tot in de cloud opgeslagen video's en foto's die zijn geüpload door elke andere babyfoon van hetzelfde type.
Deze ontdekking is het resultaat van een voortdurende samenwerking tussen Daxdi en het Internet of Things-beveiligingsteam van Bitdefender.
We geven het Bitdefender-team informatie over welke apparaten populair zijn en daarom belangrijk zijn om te testen.
Ze lieten de apparaten slopende praktische analyses ondergaan, op zoek naar kwetsbaarheden die hackers zouden kunnen misbruiken.
Voordat zij (en wij) de resultaten van deze tests onthullen, geven ze de maker van het apparaat 90 dagen de tijd om met een oplossing te komen.
Toen we een beveiligingslek meldden dat Bitdefender ontdekte in de populaire Ring Video Doorbell, bedacht Ring een oplossing en duwde deze naar buiten om de getroffen apparaten te beschermen.
Evenzo loste Belkin de kwetsbaarheid op die het Bitdefender-team vond in zijn Wemo Smart Plug.
Dat is precies waar we op hoopten met dit partnerschap - geen publieke schande van de apparaatfabrikanten, maar verbeterde veiligheid voor onze lezers die IoT-apparaten gebruiken.
Helaas heeft de situatie met iBaby niet hetzelfde happy end.
Bitdefender meldde de problemen aan de ontwikkelaars van iBaby in mei 2019, maar ze kregen nooit antwoord.
Ze gaven de ontwikkelaars veel meer dan de standaard 90 dagen om met een oplossing te komen, maar lieten hen uiteindelijk weten dat het onderzoek zou worden gepresenteerd tijdens de RSA-conferentie in San Francisco.
Zonder reactie van iBaby is het onderzoek nu openbaar en blijft het probleem bestaan.
Voor een meer gedetailleerd overzicht van het probleem kunt u naar de blogpost van Bitdefender gaan.
En als u zelf wilt experimenteren met de kwetsbaarheid (uiteraard binnen de wet blijven), biedt de whitepaper van Bitdefender de volledige details, dezelfde details die ze ongeveer negen maanden geleden aan de ontwikkelaars van iBaby hebben verstrekt.
Al uw babyvideo's zijn van ons
Net als een groot aantal andere bedrijven vertrouwt iBaby op Amazon Web Services voor cloudopslag.
Wanneer het iBaby-apparaat een waarschuwing verstuurt omdat je baby beweegt of begint te huilen, uploadt het een videoclip naar de cloud.
Waarschuwingen zijn beveiligd met een geheime sleutel en een toegangs-ID-sleutel.
Klinkt veilig, toch?
Het probleem is dat de twee sleutels de monitor niet alleen toegang geven tot uw eigen cloudgegevens; ze laten je de gegevens van iedereen zien.
Bitdefender's IoT-wizard Alex “Jay” Balan legde het uit met een eenvoudige analogie.
Stel dat u persoonlijke gegevens heeft opgeslagen op een website op www.example.com/pathto/myfiles.
Je zou niet in staat moeten zijn om www.example.com/pathto te bezoeken en een lijst met de bestanden van alle anderen te krijgen.
En je zou zeker niet in staat moeten zijn om een ??URL zoals www.example.com/pathto/otherfiles te maken en in de bestanden van iemand anders te komen.
Maar dat is precies het soort toegang tot iBaby's verkeerd geconfigureerde cloudopslagvergunningen (hoewel het proces niet zo eenvoudig is als alleen het wijzigen van een URL.)
Dat betekent dat iedereen die zich niet goed voelt een iBaby-monitor kan kopen en deze kan gebruiken om toegang te krijgen tot bestanden elke iBaby-monitor.
Ongelofelijk? Geloof het.
Om juridische redenen hadden de Bitdefender-onderzoekers geen toegang tot gegevens van andere echte gebruikers.
In plaats daarvan hebben ze een tweede testapparaat opgezet en de toegang geverifieerd.
Dit is schokkend genoeg dat ik het nog een keer moet zeggen.
Elke netwerkfanaat met toegang tot een van deze babyfoons kan deze gebruiken om toegang te krijgen tot alle in de cloud opgeslagen video's en afbeeldingen van elke andere babyfoon van hetzelfde type.
Bitdefender waarschuwde de maker en gaf hen verschillende keren de gebruikelijke periode van 90 dagen vóór openbaarmaking, maar op het moment van schrijven is er geen reactie geweest.
Vertel me alles
De iBaby-monitor gebruikt een protocol genaamd MQTT (MQ Telemetry Transport) voor communicatie met bijvoorbeeld zijn smartphone-app.
Het stuurt informatie naar de MQTT-server en andere apparaten abonneren zich op specifieke onderwerpen om die informatie te ontvangen.
Als de server correct is geconfigureerd, stuurt hij alleen de benodigde gegevens naar elk apparaat of proces.
Net als bij het cloudopslagsysteem is de serverconfiguratie van iBaby echter te los.
De experts van Bitdefender ontdekten dat ze zich met inloggegevens van één iBaby-monitor konden abonneren elke onderwerp uit elkeiBaby-monitor.
Elk stukje informatie wordt geleverd met de ID van de camera, die kan worden misbruikt.
Een snoop kan de camera-ID, gebruikers-ID, aan / uit-status en meer oppikken.
Maar de gevolgen van het geklets van deze server houden daar niet op.
Configuratiepenetratie
Voor veel apparaten verloopt de configuratie ongeveer als volgt.
U activeert de configuratiemodus door op een speciale knop op het apparaat te drukken.
Het wordt tijdelijk een onbeveiligde wifi-hotspot.
U logt in op de hotspot met uw mobiele telefoon en geeft deze vervolgens de inloggegevens voor uw thuisnetwerk.
Op dat moment kan een aanvaller die uw netwerk bewaakt, uw wifi-wachtwoord achterhalen en zo toegang krijgen tot uw netwerk.
Ring loste het probleem op door de tijdelijke wifi-hotspot simpelweg een gecodeerde verbinding te maken.
Het iBaby-apparaat werkt iets anders.
U sluit hem aan op uw smartphone met een USB-kabel en gebruikt de bijbehorende app om Wi-Fi-delen te starten.
Het configuratieproces is echter afhankelijk van de MQTT-server die, zoals we hebben gezien, niet goed is beveiligd.
Als een hacker die die server in de gaten houdt een configuratiegebeurtenis vastlegt, is dat een ramp.
Volgens de whitepaper van Bitdefender: "Als een aanvaller de MQTT-server controleert wanneer een gebruiker een camera configureert, wordt kritieke informatie gelekt naar de aanvaller." Ze kunnen dan video van het apparaat streamen of opnemen, screenshots maken of zelfs muziek afspelen op het apparaat.
Hé kleintje, klaar voor wat death metal?
Aanbevolen door onze redacteuren
De simpele oplossing? Repareer gewoon de beveiliging op de betrokken servers.
We hebben het niet over het ontwikkelen van een firmwarepatch en deze naar alle apparaten te pushen, zoals Ring moest doen.
Het is moeilijk voor te stellen waarom iBaby dit probleem en de configuratieproblemen met hun cloudgegevens nog niet heeft opgelost.
Bijkomende problemen
Een ander beveiligingsprobleem dat door de onderzoekers van Bitdefender werd ontdekt, is niet zo ernstig.
Met behulp van wat een Indirect Object Reference (IDOR) wordt genoemd, kan een aanvaller enkele persoonlijke gegevens extraheren over de ouder die het heeft geïnstalleerd.
Deze omvatten het e-mailadres, de naam, de locatie en zelfs de profielfoto.
Met dezelfde techniek kunnen tijdstempels worden opgehaald voor elke keer dat de ouder op afstand toegang heeft gehad tot de camera.
Deze aanval vereist dat u de ID kent van de camera die u wilt overvallen op gegevens.
Het Bitdefender-team wijst er echter op dat een aanvaller die op afstand controle over het apparaat heeft gekregen, de ID gemakkelijk kan krijgen.
Bovendien bevatten de in de cloud opgeslagen gegevens camera-ID-informatie.
Deze babyfoon moet worden vervangen
De iBaby Monitor M6S doet geweldig werk door ouders te helpen hun geliefde tykes in de gaten te houden.
Het ziet er gelikt uit, neemt 1080p-video op, maakt tweerichtingscommunicatie mogelijk en ondersteunt pannen en kantelen.
Op basis van die uitstekende eigenschappen vonden we het een uitstekend product, dat de naam Editors 'Choice waardig was.
In het licht van de tekortkomingen in de beveiliging, evalueren we onze beoordeling en aanbeveling opnieuw.
