Kaping van willekeurige miSafes Mi-Cam video-babyfoons
U kunt afhankelijk zijn van uw babyfoon om uw dierbare kleintje in de gaten te houden, maar een nieuw ontdekte kwetsbaarheid suggereert dat ouders misschien niet de enigen zijn die op hun kinderen letten. Dat blijkt uit een waarschuwing van het Oostenrijkse cyberbeveiligingsbedrijf SEC-consult, lijkt het erop dat de Mi-Cam-babyfoon gevoelig is voor “meerdere kritieke kwetsbaarheden, waaronder niet-geverifieerde toegang en kaping van willekeurige video-babyfoons.”
Aanbevolen video's
Er wordt geschat dat ongeveer 50.000 mensen Mi-Cams in huis hebben, en het lijkt erop dat elk van hen ten prooi kan vallen aan hackers. Acteurs met slechte bedoelingen kunnen naar verluidt Mi-Cams hacken en deze gebruiken om vrijwel alles te bespioneren wat de camera's kunnen zien.
SEC Consult beweert dat het heeft geprobeerd contact op te nemen met MiSafe, het bedrijf achter de Mi-Cam, om te waarschuwen voor de mogelijke kwetsbaarheden. Helaas zegt het beveiligingsbedrijf dat het geen antwoord heeft ontvangen en dringt er daarom bij klanten op aan om de Mi-Cams uit te schakelen om zichzelf te beschermen.
Om de Mi-Cam te kunnen hacken, hoeft een aanvaller eenvoudigweg een proxyserver op te zetten die in staat is een HTTP-verzoek tussen een computer te onderscheppen en te wijzigen. smartphone en apparaat. Op deze manier zouden aanvallers Mi-Cam-beelden kunnen bekijken zonder ooit een wachtwoord in te voeren in de begeleidende app van het apparaat. Bovendien beweert SEC Consult dat er verschillende API's zijn die hen hebben geholpen informatie te verkrijgen over hoe ze verbinding kunnen maken met het Mi-Cam-cloudnetwerk en hoe ze daadwerkelijk met de babyfoon kunnen spelen.
Zoals Johannes Greil, hoofd van het SEC Consult Vulnerability Lab opmerkte: “De informatie die door deze functie wordt opgehaald, is voldoende om alle aangesloten videobabyfoons te bekijken en ermee te communiceren. monitoren voor de opgegeven [gebruikers-ID].” Blijkbaar waren gebruikers-ID's ook vrij gemakkelijk te raden.
Dankzij de white-hat-hacking-inspanningen van SEC Consult konden ze het onderscheppen van inhoud volledig automatiseren tussen de Mi-Cam en de cloudserver, waardoor het gemakkelijk werd om effectief een staande livestream van video op te zetten feeds.
Het is een uitdaging gebleken om deze (onder andere) problemen op te lossen, vooral omdat het niet helemaal duidelijk is wie verantwoordelijk is voor Mi-Cams. Hoewel MiSafe de feitelijke maker van het apparaat is, lijkt QiWo Smartlink Technology de rechten op de technologie te hebben. Forbes meldt dat QiWo inderdaad verantwoordelijk is voor software-updates, en dat het bedrijf deze gaat bereiken uit naar de Securities Exchange Commission (SEC) om veiligheidsproblemen zo snel mogelijk aan te pakken mogelijk.
Gelukkig blijkt dat Mi-Cams niet meer in productie zijn, waardoor je deze defecte babyfoons niet meer kunt kopen. Maar als u een van de ongeveer 50.000 personen bent die al een van deze camera’s hebben, wilt u deze waarschijnlijk voorlopig uitschakelen.
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
