Eind februari meldden Daxdi en Bitdefender verschillende belangrijke beveiligingsfouten in de populaire iBaby Monitor M6S.
Een configuratiefout aan de serverzijde betekende dat een netwerkexpert een eigen iBaby-monitor kon gebruiken om video's en foto's te bekijken en te downloaden die door andere legitieme gebruikers van het apparaat waren geüpload.
Een ander configuratieprobleem maakte het voor derden mogelijk om de communicatie van elke monitor af te luisteren.
Een aanvaller die tijdens het rondsnuffelen de installatiedetails van een nieuw apparaat heeft opgevangen, kan de volledige controle over de babyfoon krijgen.
Ten slotte kon een aanvaller, door op de eerste twee beveiligingslekken te meeliften, de persoonlijke gegevens van de eigenaar achterhalen.
De ontdekking van deze beveiligingsfouten was een direct gevolg van een samenwerking tussen Daxdi en het Internet of Things-beveiligingsteam van Bitdefender.
We informeren het Bitdefender-team voortdurend over welke apparaten populair zijn en goed aangeschreven staan, en zij onderwerpen die apparaten aan rigoureuze tests.
Als ze beveiligingsproblemen ontdekken, waarschuwen ze de ontwerpers van het apparaat en geven ze ze de tijd om een ??oplossing te bedenken, meestal 90 dagen.
Maar als de tijd om is, publiceren ze de resultaten, of de gaten nu zijn verholpen of niet, zowel in een blogpost die voor de meesten begrijpelijk is, als in een whitepaper met volledige details voor de opbouw van beveiligingsexperts.
Eerdere rapporten die voortkwamen uit dit partnerschap gingen over beveiligingsproblemen in de Ring Video Doorbell en in Belkin's Wemo Smart Plug.
Ring en Belkin hebben de problemen meteen opgelost.
In het geval van Ring vereiste de reparatie een firmware-update om alle betrokken apparaten te beveiligen.
Omdat alle iBaby-kwetsbaarheden zich aan de serverkant bevonden, had een oplossing eenvoudig moeten zijn, maar bijna negen maanden gingen voorbij zonder actie.
Dus wat gebeurde er?
Communicatiestoring
Toen het Bitdefender-team beveiligingsproblemen met het iBaby-apparaat ontdekte, probeerden ze deze aan iBaby Labs te melden.
Ze probeerden verschillende e-mailadressen uit en vroegen om een ??gecodeerd e-mailcommunicatiekanaal op te zetten, zodat ze hun bevindingen veilig konden doorgeven.
Helaas kregen ze geen bruikbare reactie.
Het hardwareteam van Daxdi communiceert noodzakelijkerwijs met iBaby Labs bij het beoordelen van hun babyfoonapparatuur.
Dit team voorzag de Bitdefender-groep van contactgegevens.
Toch kon Bitdefender geen verbinding maken met de iBaby-ontwikkelaars.
Doorgaans geven onderzoekers apparaatfabrikanten 90 dagen de tijd om met dit soort kwetsbaarheid om te gaan voordat ze deze openbaar maken.
Bitdefender bleef bijna negen maanden proberen contact op te nemen met iBaby en onthulde uiteindelijk de details tijdens een lezing op de RSA-conferentie van 2020 in San Francisco.
Een snelle oplossing
Samen met de grote onthulling op de RSA-conferentie hebben we onze rapportage over het onderwerp vrijgegeven en het team van Bitdefender heeft hun blogpost en whitepaper gepubliceerd.
De volgende dag nam iBaby Labs met grote consternatie contact met ons op.
De bedrijfsvertegenwoordiger verklaarde nog nooit van deze problemen te hebben gehoord.
Het is echter duidelijk dat dankzij de details in de whitepaper van Bitdefender de ontwikkelaars van iBaby snel de beveiligingsfouten begrepen.
Binnen een paar dagen kondigde iBaby Labs een oplossing aan voor alle gerapporteerde problemen.
Het rapport merkt op dat, hoewel gegevens door de beveiligingsgaten konden worden geëxfiltreerd, ze geen bewijs vonden dat dit was gebeurd.
Zoals opgemerkt, bestonden de beveiligingsfouten op serverniveau, wat betekent dat de fixes van iBaby onmiddellijk plaatsvonden.
Bitdefender's IoT-wizard Jay Balan bevestigde de oplossing.
"Ik kan zeggen dat de aanvalsvectoren die we in ons onderzoek hebben geïdentificeerd op dit moment niet meer werken", zei Balan.
“De snelheid waarmee ze de oplossing hebben geleverd, moet gewaardeerd worden.
Het spijt ons alleen dat het media-bereik kostte om hun aandacht te trekken, waardoor hun klanten een behoorlijk groot kwetsbaarheidsvenster achterlieten.
"
Naast de server-side fixes belooft het rapport van iBaby een firmware-update.
In het rapport staat: “Binnenkort zullen we ook een firmware-update uitbrengen die naar uw apparaat wordt gepusht.
Zodra het beschikbaar is, ontvang je een melding.
Dit zal de gegevensbeveiliging verder verbeteren.
"
Aanbevolen door onze redacteuren
Een les om te leren
Met elke week die voorbijgaat, leren we over een nieuw Internet of Things-apparaat, van luiers die je sms'en wanneer ze een verandering nodig hebben tot een robot die je was opvouwt.
Deze hebben bijna allemaal één ding gemeen: ze zijn niet ontworpen met het oog op beveiliging.
En waarom zouden ze zijn? Zal iemand uw internetbewuste broodrooster hacken en de toast verbranden? Het probleem is dat elk onbeschermd IoT-apparaat op uw netwerk kan worden onderdrukt door boosdoeners om de beveiliging van uw hele netwerk in gevaar te brengen.
In het geval van een babyfoon of ander apparaat met camera, kunnen hackers u letterlijk bespioneren.
Ik suggereer niet dat de snelgroeiende IoT-industrie de productie van nieuwe apparaten vertraagt ??door toegewijde beveiligingsteams toe te voegen.
Dit zou een concurrentievoordeel opleveren voor onbeveiligde apparaten die voor minder zouden kunnen verkopen.
En zelfs als er een beveiligingsteam aan boord is, kunnen er bugs doorheen glippen.
In plaats daarvan raad ik met klem aan dat elke apparaatfabrikant een contactpersoon publiceert die onderzoekers kunnen gebruiken om problemen te melden.
Het is een oplossing die eenvoudig genoeg is.
Als iBaby Labs zo'n contactpersoon had geboden, had dit een heel ander verhaal kunnen zijn.
