Bitdefender wykrył poważne luki bezpieczeństwa w elektronicznej niani Baby Monitor Nooie. Eksperci zidentyfikowali podatności umożliwiające osobom niepowołanym przejęcie kontroli nad urządzeniem.
Elektronicznie nianie stały się nieodłącznym elementem wyposażenia każdego domu, w którym mieszka małe dziecko. To niezawodna pomoc dla zmęczonych całodzienną opieką rodziców pozwalająca stworzyć stałe połączenie między rodzicem a dzieckiem, nawet jeżeli znajdują się w osobnych pomieszczeniach. Jednak elektroniczna niania, tak jak każde urządzenie podłączone do Internetu, może być doskonałą furtką dla hakerów. Tak właśnie dzieje się w przypadku Baby Monitor Nooie. Analitycy z firmy Bitdefender zidentyfikowali w czasie badania tego urządzenia cztery luki, które umożliwiają napastnikowi dostęp do kamery lub wprowadzenie złośliwego oprogramowania w celu dalszego złamania zabezpieczeń urządzenia. Pierwszą z podatności jest przepełnienie bufora na stosie lub uszkodzenie pamięci, które może prowadzić do zdalnego wykonania kodu. Luka – śledzona jako CVE-2020-15744 – jest sklasyfikowana jako krytyczna. Inna usterka umożliwia atakującym dostęp do kanału RTSPS (audio-wideo) dowolnej kamery.
W Baby Monitor Nooie kamery wykorzystują protokół komunikacyjny MQTT, który opiera się na przekazywaniu wiadomości pomiędzy klientami za pośrednictwem centralnego serwera (brokera). Zespół Bitdefendera odkrył, że serwer MQTT zarządzający kanałami nie wymaga uwierzytelniania, pozwalając potencjalnemu napastnikowi na subskrybowanie kanału i uzyskanie identyfikatorów dla dowolnego urządzenia, gdy jest ono dostępne online. Nagrania rejestrowane przez Baby Monitor Nooie są przechowywane przez chmurę AWS. Wprawdzie każde urządzenie z tej serii ma swoje unikalne dane uwierzytelniające, ale napastnicy bardzo łatwo mogę przechwycić te informacje – ostrzegają analitycy Bitdefendera. Oprogramowanie Nooie Cam było pobierane z Google Play od 50 tys. do 100 tys. razy, co wskazuje na to, iż produkt cieszy się popularnością.
Bitdefender ujawnił luki w zabezpieczeniach w listopadzie 2020 i poinformował o tym producenta. Niestety, ten nie podjął żadnych działań w celu wyeliminowania błędów.
Bitdefender zaleca, aby użytkownicy domowi uważnie obserwowali urządzenia IoT i izolowali je od sieci lokalnej lub sieci dla gości. Można to zrobić, konfigurując identyfikator SSID adresowany wyłącznie dla urządzeń IoT. Inną opcją jest skorzystanie z bezpłatnej aplikacji Bitdefender Smart Home Scanner, służącej do skanowania podłączonych urządzeń, identyfikowania i wyróżniania tych, które są podatne na ataki. Warto także rozważyć zastosowanie rozwiązania cyberbezpieczeństwa sieciowego zintegrowanego z routerem, takiego jak np. routery Netgear Orbi lub Nighthawk obsługiwane przez Bitdefender Armor.
