Hvem kigger på dine overvågningsbilleder?
Det spørgsmål bør en del forbrugere stille sig selv, hvis de har købt en række udvalgte IoT-baserede overvågningskameraer.
Sikkerhedsforskere har nemlig vist, hvordan de fik adgang til, kunne slette og ændre ved alarmer og overvågningsvideo ved at angribe enhedernes apps – uden nogensinde at være i kontakt med selve enheden. Det viser en ny rapport fra IT-sikkerhedsvirksomheden Barracuda Networks.
Internetforbundne enheder (IoT) hittede i julens gaveræs. Men der er en bagside. Ifølge sikkerhedseksperter fra Barracuda Networks, er der fundet huller i software, der styrer flere typer af overvågningskameraer. Åbenheder i mobile og web-apps betyder, at researcherne kunne komme ind og slette og afspille overvågningsvideoer, ligesom de var i stand til at ændre ved og oprette nye alarmer.
Ifølge Peter Gustafsson, Nordisk ansvarlig hos Barracuda Networks, er det interessante ved dette, at researchere var i stand til at få adgang til det sensitive materiale uden at have adgang til selve enhederne.
”Vores researchere var i stand til at få adgang takket være mobil- og web-apps uden på noget tidspunkt at have direkte kontakt til de enkelte IoT-enheder. Det var sårbarheder i selve softwaren, der gjorde researcherne i stand til at få adgang til sensitive data, fordi de lignede de reelle brugere.”
I rapporten beskrives taktikken som IoT credential compromise, der er en måde, hvor hackere finder og udnytter de legitimationsoplysninger, der giver adgang til IoT-enheder som kameraer.
Tænk på hvor dit overvågningskamera peger
Prisen ved at folk kan tilgå og styre IoT-enheder som fx overvågningskameraer fra smartphones er, at det åbner op for flere angrebsmuligheder for hackere. Det stiller nye krav til virksomheder, der producerer enhederne, ligesom også forbrugerne skal tage stilling til, hvilke ting og producenter, de handler med.
”Undersøgelsen er en god nyhed for hackere, idet de fremover ikke længere behøver at scanne for sårbare enheder på hjemmesider som Shodan. I stedet kan de fokusere på leverandørernes egen infrastruktur og udnytte den måde, hvorpå IoT-enheder kommunikerer med skyen på,” udtaler Peter Gustavsson og afslutter:
”For forbrugerne er denne afsløring en vigtig reminder om, at de skal tage aktivt stilling til de producenter af IoT-enheder, de benytter. Samtidig skal man i tilfælde med overvågningskameraer overveje, hvor man peger sit kamera. Måske er det en god idé at se, hvem der kommer ind ad sin dør – men ikke fornuftigt med et kamera i sit soveværelse.”
