Från videodörrklockor till fjärrstyrda babymonitorer kan vi hantera hemsäkerhet på ett otroligt antal sätt.
I denna moderna värld har säkerhetskameror i hemmet utvecklats ljusår bortom de föråldrade rörelsesensorerna som skulle låta larm eftersom din katt hoppade på disken.
Netatmo Smart Indoor Security Camera (tidigare Netatmo Welcome) är verkligen smart - den kan känna igen ansikten från din familj och ignorera deras aktiviteter, men ändå varna dig om den ser en främling.
Men som alla IoT-enheter (Internet of Things) kan det potentiellt äventyra din integritet om den inte är ordentligt skyddad.
Faktum är att Bitdefender upptäckte att den här kameran hade en brist som kunde ha låtit en mycket bestämd angripare tränga in i ditt Wi-Fi-nätverk.
Men oroa dig inte; det har redan fixats.
Ett inre jobb
Vi på Daxdi är engagerade i ett kontinuerligt partnerskap med säkerhetsteamet Internet of Things på Bitdefender.
Vi låter teamet veta vilka enheter som är populära hos våra läsare.
De torterar enheterna baserat på flera års erfarenhet av hackning med vit hatt och letar efter säkerhetsproblem.
Innan de (och vi) avslöjar sina resultat ger de tillverkaren av enheten 90 dagar på sig att lösa eventuella problem.
Lita på oss; det finns alltid problem.
Observera att Netatmo-enheten i den aktuella rapporten inte var från vår lista.
i det här fallet gjorde forskarna sitt eget urval.
Vi har granskat Netatmo-närvaron och tyckte att den var utmärkt, men det är en säkerhetskamera utomhus.
Bitdefenders resultat är för Smart inomhuskamera och kan inte extrapoleras till närvaron, eftersom de inte testade det.
Men om vi var Netatmo-utvecklare skulle vi säkert söka efter samma problem i andra enheter.
Ibland är en säkerhetsfel ett gapande hål, som problemet Bitdefender upptäckte med en iBaby-skärm som gjorde det möjligt för en användare att se videor från Allt användare.
Säkerhetsproblemet i Netatmo-enheten var mycket mer subtilt och mycket svårare att utnyttja.
Från Bitdefenders blogginlägg om ämnet:
"Bitdefender IoT-sårbarhetsforskningsteamet upptäckte att enheten är mottaglig för en autentiserad filskrivning som leder till kommandokörning (CVE-2019-17101), liksom för en eskalering av privilegier via dirtyc0w - ett lokalt privilegiereskaleringsfel som utnyttjar ett lopp villkor vid implementeringen av copy-on-write-mekanismen i kärnans minneshanteringsundersystem.
"
Bitdefenders Jay Balan förklarade för Daxdi att hans team hittade ett fel i ett skript som hanterar enhetens konfiguration.
Genom att utnyttja detta fel kan en angripare köra godtycklig kod på det underliggande operativsystemet.
Balan upptäckte också att det var möjligt att eskalera privilegier på enheten, vilket innebär att en framgångsrik angripare helt kunde böja kameran till sin vilja.
Det låter kanske inte stort, men möjligheten att köra godtycklig kod betyder att angriparen kan göra nästan vad som helst i ditt nätverk, inte bara på enheten.
Du kanske inte bryr dig om att en angripare får åtkomst till din kamera (vilket är lite konstigt att ta), men du kanske bryr dig mycket om angriparen sedan kan svänga från din kamera till din bärbara dator som är laddad med personlig information.
Tidigare upptäckte Bitdefender en sårbarhet med en ringdörrklocka, där en angripare skulle behöva sätta ut ditt hus, tillräckligt nära för att utnyttja Wi-Fi.
Attacken involverade att inaktivera dörrklockans anslutning och sedan fånga interaktionen när du märkte och sprang igenom den ursprungliga konfigurationen igen.
Det är en ganska svår attack, men att sväva in i Netatmo Smart inomhuskamera skulle vara ännu svårare.
Balan förklarade att angriparen skulle behöva lokal åtkomst till kameran, tillsammans med inloggningsuppgifter för ett användarkonto.
Så angriparen måste gissa dina inloggningsuppgifter eller få dem med ett nätfiskeattack.
Det är inte omöjligt, men effektivt måste det vara ett inre jobb.
Men efter exploateringen skulle angriparen ha ett strandhuvud i ditt nätverk, fjärrstyrt med en VPN.
Balan påpekade att folk kanske inte var försiktiga med sina referenser och tyckte att det inte är en stor sak om någon ser videoflöden.
Återigen, det är inte den verkliga faran.
Denna exploatering låter en angripare få tillgång till ditt nätverk och dess enheter.
Denna speciella sårbarhet är nyanserad och forskarna erkänner att den faktiskt kan användas för legitima ändamål.
Återigen från Bitdefenders blogginlägg:
"[...] sårbarheterna som beskrivs här kan hjälpa en legitim användare eller en tredje part som har rätt referenser för att jailbreaka enheten och helt äga den.
Och medan vi låter dig föreställa dig ett giltigt verklighetsscenario där du skulle skapa din egen enhet, vill vi också påminna ivriga besökare på vår blogg att möjligheten att jailbreak fortfarande är en sårbarhet och bör ses som sådan."
Hur kameran ska fungera
Som nämnts kan du programmera Netatmo-kameran för att ignorera dina familjemedlemmar eller andra invånare.
Det kommer inte att skrämma bara för att ditt barn kom hem från skolan tidigt.
Men om det upptäcker ett okänt ansikte skickar det en varning med ett foto och till och med HD 1080p-video.
Kanske din inbrottstjuv smyger in under mörker? Inga problem.
Netatmo använder infrarött, så du får fortfarande video.
Den här kameran varnar dig också när den hör ett larm.
Det kan vara ett röklarm, ett annat säkerhetssystem eller till och med en nödsiren.
Även här skickar den en video tillsammans med sin varning.
Netatmo behåller säkerhetsvideor på ett lokalt microSD-kort så att du till exempel kan dela dem med polisen.
Du kan också konfigurera den för att släppa dessa videor till ditt Dropbox-konto eller din personliga FTP-server.
(Du har en personlig FTP-server, eller hur?)
Rekommenderas av våra redaktörer
Ett bra svar från Netatmo
Historien slutar lyckligtvis mycket bra.
Bitdefender kontaktade Netatmo den 20 december 2019 och avslöjade det mindre problemet med manuset.
Netatmo erkände problemet på bara tre dagar - en beundransvärt snabb vändtid.
I mitten av januari hade Netatmo redan utvecklat en patch för att lösa problemet.
Det är särskilt imponerande, med tanke på att det föll under vintersemestern.
Vår syn på Daxdi är att en säkerhetsfråga i de flesta fall inte är lika viktig som hur ett företag hanterar svaret.
När ett företag undviker ansvar genom att ignorera forskare eller försöka dölja en pinsam säkerhetshändelse skadar det kunderna mycket mer än en sårbarhet eller dataintrång.
Netatmo hanterade denna fråga på ett sätt som väcker förtroende, vilket är precis vad vi vill se.
White Hat Hacking
När vi rapporterade ett säkerhetshål som Bitdefender-teamet grävde ut i den populära Ring Video Doorbell, kom Ring med en fix och drev ut en firmwareuppdatering för att skydda berörda enheter.
Belkin fixade också snabbt sårbarheten Bitdefender som hittades i Wemo Smart Plug.
Som tidigare nämnts hittade Bitdefender också säkerhetsfel i iBaby Monitor M6S babymonitor.
Forskarna gjorde tappra ansträngningar för att kontakta företagets säkerhetsteam, men kom aldrig igenom.
Lyckligtvis fick vår rapportering uppmärksamhet från iBabys VD och säkerhetshålen fixades på bara några dagar.
Dessa framgångshistorier är precis vad vi hoppades på med detta partnerskap.
Vi har inget intresse av att offentligt skamma tillverkare av enheter.
Snarare strävar vi efter att förbättra säkerheten för våra läsare som använder enheterna.
Nästan alla enheter kan vara internetmedvetna i dessa dagar, från röklarm till smarta glödlampor.
Och tillverkare av apparater tänker inte nödvändigtvis på att prioritera säkerhet, inte ens i enheter som kameror vars mål är är säkerhet.
En stark granskning av ett rött säkerhetslag visar nästan alltid problem för tillverkaren att fixa.
Vi på Daxdi kommer att fortsätta att peka på enheter för Bitdefender-teamet att utvärdera och rapportera om vad som hittades och vad som fixades.
