Som ny förälder vill du bara det bästa för din bunt av glädje.
Om ditt barn vaknar på natten och gråter efter utfodring, oroar du dig troligen inte för ditt klädsel (eller klä av dig) när du svarar.
Var bara medveten om att om du använder en iBaby Monitor M6S för att hålla koll på den lilla kan du sätta upp en gratis show för totalt främlingar.
Forskare vid Bitdefender upptäckte flera säkerhetsproblem med den här enheten som gör det möjligt för hackare att fånga sparade bilder eller videor, visa livevideo och till och med fånga din personliga information.
Mest chockerande av alla, vem som helst som har en av dessa enheter och de nödvändiga nätverksfärdigheterna kan få tillgång till molnlagrade videor och bilder som laddas upp av alla andra babymonitorer av samma typ.
Denna upptäckt är resultatet av ett pågående partnerskap mellan Daxdi och Internet of Things säkerhetsteamet på Bitdefender.
Vi ger Bitdefender-teamet information om vilka enheter som är populära och är därför viktiga att testa.
De satte enheterna genom en ansträngande praktisk analys och letade efter sårbarheter som hackare kunde utnyttja.
Innan de (och vi) avslöjar resultaten av denna testning ger de enhetens tillverkare 90 dagar på sig att komma på ett botemedel.
När vi rapporterade ett säkerhetshål som Bitdefender upptäckte i den populära Ring Video Doorbell, kom Ring med en fix och drev ut den för att skydda berörda enheter.
På samma sätt fixade Belkin den sårbarhet som Bitdefender-teamet hittade i sin Wemo Smart Plug.
Det är precis vad vi hoppats på med detta partnerskap - inte offentlig skam av tillverkarna av enheter, men förbättrad säkerhet för våra läsare som använder IoT-enheter.
Ack, situationen med iBaby har inte samma lyckliga slut.
Bitdefender rapporterade problemen till iBaby-utvecklare i maj 2019, men de fick aldrig något svar.
De gav utvecklarna mycket mer än de vanliga 90 dagarna att komma med en fix, men så småningom informerade de dem om att forskningen skulle presenteras under RSA-konferensen i San Francisco.
Utan svar från iBaby är forskningen nu offentlig och problemet kvarstår.
För en mer detaljerad nedgång i problemet kan du gå till Bitdefenders blogginlägg.
Och om du själv vill experimentera med sårbarheten (förblir naturligtvis inom lagen), erbjuder Bitdefenders whitepaper de fullständiga detaljerna, samma detaljer som de levererade till iBabys utvecklare för ungefär nio månader sedan.
Alla dina babyvideor tillhör oss
Liksom ett stort antal andra företag är iBaby beroende av Amazon Web Services för molnlagring.
När iBaby-enheten skickar en varning för att din bebis rör sig eller börjar gråta laddar den upp ett videoklipp till molnet.
Varningar skyddas med en hemlig nyckel och en åtkomst-ID-nyckel.
Låter säkert, eller hur?
Problemet är att de två tangenterna inte bara ger skärmen åtkomst till din egen molndata; de låter dig se allas data.
Bitdefenders IoT-guide Alex “Jay” Balan förklarade det med en enkel analogi.
Anta att du har personuppgifter lagrade på en webbplats på www.example.com/pathto/myfiles.
Du bör inte kunna besöka www.example.com/pathto och få en lista över alla andras filer.
Och du borde definitivt inte kunna skapa en webbadress som www.example.com/pathto/otherfiles och komma in i någon annan persons filer.
Men det är precis den typ av åtkomst som iBabys felkonfigurerade molnlagringstillstånd tillåter (även om processen inte är så enkel som att bara ändra en URL.)
Det betyder att varje ne-do-well kan köpa en iBaby-skärm och använda den för att komma åt filer från varje iBaby-skärm.
Otrolig? Tro på det.
Av juridiska skäl hade Bitdefender-forskarna inte tillgång till data som tillhör andra verkliga användare.
Istället satte de upp en andra testenhet och verifierade åtkomst.
Det här är chockerande nog att jag måste säga det igen.
Alla nätverk som har tillgång till någon av dessa babymonitorer kan använda den för att få tillgång till alla molnlagrade videor och bilder från alla andra babymonitorer av samma typ.
Bitdefender varnade tillverkaren och gav dem flera gånger den vanliga 90-dagarsperioden före avslöjande, men i skrivande stund har det inte kommit något svar.
Berätta allt
IBaby-skärmen använder ett protokoll som heter MQTT (MQ Telemetry Transport) för kommunikation med till exempel sin smartphone-app.
Den skickar information till MQTT-servern och andra enheter prenumererar på specifika ämnen för att ta emot den informationen.
Konfigurerad korrekt skulle servern bara skicka nödvändig data till varje enhet eller process.
Men som med molnlagringssystemet är iBabys serverkonfiguration för lös.
Bitdefenders experter fann att med referenser från en iBaby-skärm kunde de prenumerera på varje ämne från varjeiBaby-skärm.
Varje utdrag av information kommer med kamerans ID, som kan missbrukas.
Ett snoop kan plocka upp kamera-ID, användar-ID, på / av-status och mer.
Men konsekvenserna av serverns blabbning slutar inte där.
Konfigurationsgenomträngning
För många enheter går konfigurationen ungefär så här.
Du aktiverar konfigurationsläget genom att trycka på en specialknapp på enheten.
Det blir tillfälligt en osäker Wi-Fi-hotspot.
Du loggar in på hotspot med din mobiltelefon och sedan ger den informationen för ditt hemnätverk.
I det ögonblicket kan en angripare som övervakar ditt nätverk fånga ditt Wi-Fi-lösenord och därmed få tillgång till ditt nätverk.
Ring fixade problemet genom att helt enkelt göra den tillfälliga Wi-Fi-hotspoten till en krypterad anslutning.
IBaby-enheten fungerar lite annorlunda.
Du ansluter den till din smartphone med en USB-kabel och använder tillhörande app för att initiera Wi-Fi-delning.
Konfigurationsprocessen är dock beroende av MQTT-servern som, som vi har sett, inte är ordentligt skyddad.
Om en hackare som övervakar den servern fångar upp en konfigurationshändelse är det en katastrof.
Enligt Bitdefenders whitepaper, "Om en angripare övervakar MQTT-servern när en användare konfigurerar en kamera, kommer viktig information att läcka ut till angriparen." De kan sedan strömma eller spela in video från enheten, ta skärmdumpar eller till och med spela musik på Hej, lilla, redo för lite Death Metal?
Rekommenderas av våra redaktörer
Den enkla lösningen? Fixa bara säkerheten på de inblandade servrarna.
Vi pratar inte om att utveckla en firmware-patch och skjuta ut den till alla enheter, så som Ring var tvungen att göra.
Det är svårt att förstå varför iBaby ännu inte har fixat problemet och konfigurationsproblemen med molndata.
Ytterligare problem
Ett annat säkerhetsproblem som Bitdefenders forskare har hittat är inte lika hemskt.
Med hjälp av det som kallas en indirekt objektreferens (IDOR) kan en angripare extrahera några personliga uppgifter om föräldern som installerade den.
Dessa inkluderar e-postadress, namn, plats och till och med profilbild.
Samma teknik kan hämta tidsstämplar för varje gång föräldern fjärråtkomst till kameran.
Denna attack kräver att du känner till ID: n för den kamera du vill raid för data.
Bitdefender-teamet påpekar dock att en angripare som fått fjärrkontroll av enheten enkelt kan få ID.
Dessutom innehåller molnlagrade data kamera-ID-information.
Denna babyvakt behöver förändras
IBaby Monitor M6S gör ett fantastiskt jobb för att hjälpa föräldrar att hålla koll på sina älskade tykes.
Det ser glatt ut, tar 1080p-video, möjliggör tvåvägskommunikation och stöder panorering och lutning.
Baserat på dessa utmärkta funktioner ansåg vi att det var en utmärkt produkt, värdig att utses till Editors Choice.
Med tanke på dess säkerhetsbrister utvärderar vi dock vårt betyg och rekommendation.
