Veebruari lõpus teatasid Daxdi ja Bitdefender populaarsest iBaby Monitor M6S-ist mitmest olulisest turvaveast.
Serveripoolne konfiguratsiooniviga tähendas, et võrguekspert sai seadme teiste seaduslike kasutajate üles laaditud videote ja piltide vaatamiseks ja allalaadimiseks kasutada oma iBaby monitori.
Erinev konfiguratsiooniprobleem võimaldas kolmandatel osapooltel kuulata igast kuvarist ühendust.
Ründaja, kes nuhkides tabas uue seadme seadistamise üksikasjad, võib beebimonitori täielikult juhtida.
Lõpuks, rünnates kahte esimest turvaauku, võis ründaja hõivata omaniku isiklikke andmeid.
Nende turvavigade avastamine tulenes otseselt PCMagi ja Bitdefenderi asjade Interneti turvameeskonna koostööst.
Pidevalt teavitame Bitdefenderi meeskonda sellest, millised seadmed on populaarsed ja hästi hinnatud ning nad panid need seadmed põhjalikult testima.
Turvaprobleemide avastamisel hoiatavad nad seadme disainereid ja annavad neile aega lahenduse leidmiseks, tavaliselt 90 päeva.
Kuid kui aeg on läbi, avaldavad nad tulemused, olenemata sellest, kas augud on fikseeritud või mitte, nii enamusele arusaadavas blogipostituses kui ka turvaekspertide väljaarendamise üksikasju sisaldavas valgekirjas.
Sellest partnerlusest tulenevad varasemad aruanded on käsitlenud turvaprobleeme video video uksekella ja Belkini nutika pistiku Wemo kaudu.
Ring ja Belkin lahendasid probleemid kohe.
Ringi puhul eeldas parandus kõigi mõjutatud seadmete turvamiseks püsivara värskenduse väljatõmbamist.
Kuna kõik iBaby haavatavused olid serveri poolel, oleks pidanud parandus olema lihtne, kuid möödus peaaegu üheksa kuud, ilma et oleks vaja midagi teha.
Mis juhtus?
Side jaotus
Kui Bitdefenderi meeskond leidis iBaby seadmega turbeprobleeme, üritasid nad neist teatada iBaby Labsile.
Nad proovisid erinevaid e-posti aadresse, paludes luua krüptitud e-posti suhtluskanal, et nad saaksid oma leiud turvaliselt edasi anda.
Kahjuks ei saanud nad kasulikku vastust.
PCMagi riistvarameeskond suhtleb tingimata iBaby Labsiga, kui vaatab üle nende beebi jälgimisseadmed.
See meeskond edastas Bitdefenderi rühmale kontaktandmed.
Isegi nii ei suutnud Bitdefender iBaby arendajatega ühendust luua.
Tavaliselt annavad teadlased seadmetootjatele sellise haavatavusega tegelemiseks 90 päeva enne selle avalikustamist.
Bitdefender üritas iBabyga ühendust võtta peaaegu üheksa kuud, paljastades lõpuks üksikasjad San Franciscos toimunud RSA konverentsil peetud kõnes.
Kiire parandus
Koos RSA konverentsi suure avalikustamisega avaldasime selle teema kohta aruande ja Bitdefenderi meeskond avaldas oma ajaveebipostituse ja valgepaberi.
Järgmisel päeval võttis iBaby Labs meiega suure hirmuga ühendust.
Ettevõtte esindaja teatas, et nad pole neist probleemidest kunagi kuulnud.
Siiski on selge, et tänu Bitdefenderi valgekirjas toodud üksikasjadele said iBaby arendajad turvavigadest kiiresti aru.
Mõne päeva pärast teatas iBaby Labs kõigi teatatud probleemide lahendamisest.
Aruandes märgitakse, et kuigi andmeid oleks saanud turvaaukude kaudu välja filtreerida, ei leidnud nad tõendeid selle juhtumise kohta.
Nagu märgitud, eksisteerisid turvavead serveri tasandil, mis tähendab, et iBaby parandused toimusid kohe.
Bitdefenderi IoT-viisard Jay Balan kinnitas paranduse.
"Võin öelda, et siinkohal ei tööta meie uurimistöös tuvastatud rünnakuvektorid enam," ütles Balan.
"Kiirust, millega nad paranduse kätte toimetasid, tuleb hinnata.
Meil on ainult kahju, et nende tähelepanu saamiseks kulus selleks meediaväljaandeid, jättes klientidele üsna suure haavatavuse akna.
"
Lisaks serveripoolsetele parandustele lubab iBaby aruanne püsivara värskendust.
Aruandes on öeldud: "Varsti vabastame ka püsivara värskenduse, mis lükatakse teie seadmesse.
Kui see on saadaval, saate teate.
See suurendab veelgi andmete turvalisust.
”
Soovitasid meie toimetajad
Õppetund, mida õppida
Iga mööduva nädalaga õpime tundma mõnda uut asjade Interneti-seadet, alates mähkmetest, mis teile tekstile annavad, kui vajavad vaheldust, teie robotile, mis teie pesu kokku paneb.
Peaaegu kõigil neil on üks ühine joon - need pole loodud turvalisust silmas pidades.
Ja miks nad peaksid olema? Kas keegi häkkib teie Interneti-teadlikule rösterile ja põletab röstsaia? Probleem on selles, et pahatahtlikud tegijad võivad teie võrgu kaitsmata IoT-seadmeid kogu teie võrgu turvalisust kahjustada.
Beebimonitori või muu kaameraga varustatud seadme puhul võivad häkkerid teid sõna otseses mõttes nuhkida.
Ma ei väida, et kasvav IoT-tööstus aeglustaks uute seadmete tootmist, lisades sellele spetsiaalsed turvameeskonnad.
See annaks konkurentsieelise turvamata seadmetele, mida saaks müüa vähem.
Ja isegi turvameeskonna pardal olles võivad mõned vead läbi lipsata.
Pigem soovitan tungivalt, et iga seadmetootja avaldaks kontakti, mida teadlased saaksid probleemidest teatamiseks kasutada.
See on piisavalt lihtne lahendus.
Kui iBaby Labs oleks sellise kontakti pakkunud, oleks see võinud olla hoopis teine ??lugu.
