二月底,据PCMag和Bitdefender报道几个重要的安全漏洞在流行婴儿监视器M6S.服务器端配置错误意味着网络专家可以使用他们自己的iBaby监视器来观看和下载该设备的其他合法用户上传的视频和图片。另一个配置问题使得第三方可以监听来自每个监视器的通信。如果攻击者在窥探时发现了新设备的设置细节,就可以完全控制该设备婴儿监视器.最后,通过利用前两个安全漏洞,攻击者可以捕获所有者的个人信息。
这些安全漏洞的发现是PCMag和Bitdefender合作的直接结果物联网安全团队。在持续的基础上,我们告知Bitdefender团队哪些设备是受欢迎和受好评的,他们会对这些设备进行严格的测试。如果他们发现安全问题,他们会警告设备的设计师,并给他们时间来想出解决办法,通常是90天。但时间一到,他们就会公布结果不管这些洞有没有被修复,都是博客(在新窗口中打开)这对大多数人来说都是可以理解的白皮书,详细内容(在新窗口中打开)供安全专家参考。
过去关于这一伙伴关系的报告涵盖了联合国的安全问题视频门铃在Belkin 'sWemo智能插头.Ring和Belkin马上解决了这个问题。在Ring的案例中,修复需要推出固件更新来保护所有受影响的设备。由于所有的iBaby漏洞都在服务器端,修复应该很容易,但几乎9个月过去了,没有任何行动。那么,发生了什么?
交流障碍
当Bitdefender团队发现iBaby设备存在安全问题时,他们试图将问题报告给iBaby实验室。他们尝试了不同的电子邮件地址,要求建立一个加密的电子邮件通信通道,这样他们就可以安全地传递他们的发现。不幸的是,他们没有收到有用的答复。
在网上更安全是一件非常容易的事PCMag的硬件团队在审查他们的婴儿监控设备时,必须与iBaby Labs进行沟通。该团队向Bitdefender小组提供了联系信息。即便如此,Bitdefender还是无法与iBaby的开发者建立联系。通常情况下,研究人员会给设备制造商90天的时间来处理这类漏洞,然后再将其公之于众。Bitdefender在近9个月的时间里一直试图联系iBaby,最终在2020年的一次演讲中透露了细节RSA会议在旧金山。
快速解决方案
在RSA大会上,我们发布了关于这个主题的报告,Bitdefender的团队发表了他们的博客文章和白皮书。第二天,iBaby实验室带着极大的惊恐联系了我们。公司代表表示他们从未听说过这些问题。不过,很明显,多亏了Bitdefender白皮书中的细节,iBaby的开发者很快就明白了安全漏洞。
几天后,iBaby Labs宣布修复(在新窗口中打开)对于所有报告的问题。报告指出,虽然数据可能通过安全漏洞泄露,但他们没有发现发生这种情况的证据。
如上所述,安全漏洞存在于服务器级别,这意味着iBaby的修复立即进行。Bitdefender的物联网向导Jay Balan证实了这一修复。巴兰说:“我可以说,在这一点上,我们在研究中发现的攻击媒介已经不起作用了。“他们提供修复方案的速度值得赞赏。我们感到遗憾的是,通过媒体宣传才引起了他们的注意,给他们的客户留下了一个相当大的漏洞窗口。”
除了服务器端修复之外,iBaby的报告还承诺会进行固件更新。报告称,“不久我们还将发布固件更新,推送到你的设备上。一旦可用,您将收到通知。这将进一步提高数据安全性。”
值得学习的一课
随着时间的推移,我们每周都会了解到一些新的物联网设备,从尿布到需要更换时会给你发短信帮你叠衣服的机器人.几乎所有这些都有一个共同点——它们在设计时都没有考虑到安全性。为什么呢?会不会有人侵入你的联网烤面包机,把烤面包烤焦了?问题是,网络上任何未受保护的物联网设备都可能被犯罪分子收买,从而危及整个网络的安全。在婴儿监视器或其他配备摄像头的设备的情况下,黑客可能会监视你。
我并不是说蓬勃发展的物联网行业通过增加专门的安全团队来减缓新设备的生产。这样做会给售价较低的无担保设备带来竞争优势。即使船上有安全团队,一些漏洞也可能会溜走。
相反,我强烈建议每个设备制造商都发布一个联系方式,研究人员可以用它来报告问题。这是一个非常简单的解决方案。如果iBaby Labs提供了这样的联系方式,情况可能会大不相同。
