I slutet av februari rapporterade Daxdi och Bitdefender flera betydande säkerhetsfel i den populära iBaby Monitor M6S.
Ett konfigurationsfel på serversidan innebar att en nätverksexpert kunde använda en egen iBaby-bildskärm för att visa och ladda ner videor och bilder som laddats upp av andra legitima användare av enheten.
Ett annat konfigurationsproblem gjorde det möjligt för tredje part att lyssna på kommunikation från varje bildskärm.
En angripare som fick information om en ny enhet under snooping kunde ta full kontroll över babymonitorn.
Slutligen, genom att slå tillbaka på de två första säkerhetshålen, kunde en angripare fånga ägarens personliga information.
Upptäckten av dessa säkerhetsfel kom som ett direkt resultat av ett partnerskap mellan Daxdi och Bitdefenders säkerhetsgrupp Internet of Things.
Vi informerar löpande Bitdefender-teamet om vilka enheter som är populära och väl ansedda, och de testar dessa enheter noggrant.
Om de upptäcker säkerhetsproblem varnar de enhetens designers och ger dem tid att komma med en fix, vanligtvis 90 dagar.
Men när tiden är ute publicerar de resultaten oavsett om hålen har fixats eller inte, både i ett blogginlägg som är förståeligt för de flesta och i en vitbok med fullständiga detaljer för redigering av säkerhetsexperter.
Tidigare rapporter som härrör från detta partnerskap har täckt säkerhetsproblem i Ring Video Doorbell och i Belkins Wemo Smart Plug.
Ring och Belkin fixade problemen direkt.
I Rings fall krävde fixen att en firmwareuppdatering skjuts ut för att säkra alla berörda enheter.
Eftersom alla iBaby-sårbarheter var på serversidan, skulle en fixa ha varit lätt, men nästan nio månader gick utan åtgärder.
Så vad hände?
Kommunikationsfördelning
När Bitdefender-teamet hittade säkerhetsproblem med iBaby-enheten försökte de rapportera dem till iBaby Labs.
De försökte olika e-postadresser och bad att skapa en krypterad e-postkommunikationskanal så att de kunde skicka sina resultat säkert.
Tyvärr fick de inget användbart svar.
PCMags hårdvaruteam kommunicerar nödvändigtvis med iBaby Labs när de granskar sina babyövervakningsenheter.
Detta team försåg Bitdefender-gruppen med kontaktinformation.
Ändå kunde Bitdefender inte ansluta till iBaby-utvecklarna.
Vanligtvis ger forskare enhetstillverkare 90 dagar på sig att hantera denna typ av sårbarhet innan de offentliggörs.
Bitdefender fortsatte att försöka kontakta iBaby i nästan nio månader och avslöjade så småningom detaljerna i ett samtal vid RSA-konferensen 2020 i San Francisco.
En snabb fix
I samband med den stora avslöjandet vid RSA-konferensen släppte vi vår rapportering om ämnet och Bitdefenders team publicerade sitt blogginlägg och vitbok.
Nästa dag kontaktade iBaby Labs oss med stor bestörtning.
Företagsrepresentanten uppgav att de aldrig hade hört talas om dessa problem.
Det är dock klart att tack vare detaljerna i Bitdefenders whitepaper, förstod iBabys utvecklare snabbt säkerhetsfel.
På bara några dagar tillkännagav iBaby Labs en fix för alla rapporterade problem.
Rapporten konstaterar att även om data kunde ha exfiltrerats genom säkerhetshålen fann de inga bevis för att detta hade hänt.
Som nämnts fanns säkerhetsfel på servernivå, vilket innebär att iBabys fixar skedde omedelbart.
Bitdefenders IoT-guide Jay Balan bekräftade åtgärden.
"Jag kan säga att just nu fungerar de attackvektorer som vi identifierade i vår forskning inte längre", säger Balan.
”Den hastighet som de levererade fixen är att uppskatta.
Vi är bara ledsna att det tog denna medieuppsök att få deras uppmärksamhet och lämnade sina kunder med ett ganska stort sårbarhetsfönster.
”
Förutom fixarna på serversidan lovar rapporten från iBaby en firmwareuppdatering.
Rapporten säger, ”Snart kommer vi också att släppa en firmwareuppdatering för att skickas ut till din enhet.
När det är tillgängligt får du ett meddelande.
Detta kommer att förbättra datasäkerheten ytterligare.
”
Rekommenderas av våra redaktörer
En läxa att lära sig
För varje vecka som går, lär vi oss om en ny enhet för Internet of Things, från blöjor som skickar text när de behöver byta till en robot som viks din tvätt.
Nästan alla dessa har en sak gemensamt - de är inte utformade med säkerhet i åtanke.
Och varför skulle de vara det? Kommer någon att hacka till din internetmedvetna brödrost och bränna toasten? Problemet är att alla oskyddade IoT-enheter i ditt nätverk kan fördjupas av felaktiga faktorer för att äventyra hela nätverkets säkerhet.
När det gäller en babymonitor eller annan kamerautrustad enhet kan hackare bokstavligen spionera på dig.
Jag föreslår inte att den växande IoT-industrin saktar ner produktionen av nya enheter genom att lägga till dedikerade säkerhetsteam.
Om du gör det skulle det ge en konkurrensfördel för enheter utan säkerhet som kan säljas för mindre.
Och även med ett säkerhetsteam ombord kan vissa buggar glida igenom.
Snarare föreslår jag starkt att varje enhetstillverkare publicerar en kontakt som forskare kan använda för att rapportera problem.
Det är en tillräckligt enkel lösning.
Hade iBaby Labs tillhandahållit en sådan kontakt kunde detta ha varit en helt annan historia.
