Kerentanan Keamanan Objek Yang Terhubung

Kerentanan Keamanan Objek Yang Terhubung

 

 

Kerentanan Keamanan Objek Yang Terhubung

Kerentanan Keamanan Objek Yang Terhubung

Pengelolaan nama pengguna dan kata sandi yang buruk, akses tak terbatas ke ruang penyimpanan Amazon S3 ,

remote control … Objek yang terhubung ini, diuji oleh Bitdefender , memiliki tingkat keamanan yang sangat baik. Menemukan kerentanan pada objek yang terhubung telah menjadi hobi favorit Alex Balan, seorang peneliti keamanan di Bitdefender Labs . Seperti tahun lalu, ia menggunakan konferensi RSA 2020 sebagai kesempatan untuk memamerkan temuan terbaiknya, dimulai dengan iBaby Monitor M6S , perangkat untuk memantau bayinya. Seperti banyak objek yang terhubung saat ini, perangkat ini terhubung secara permanen ke ruang penyimpanan cloud Amazon S3 , untuk menyimpan gambar dan video.

Tetapi kelemahan dalam pengelolaan pengidentifikasi memungkinkan, pada akhirnya, akses ke isi seluruh ruang penyimpanan. Oleh karena itu, dimungkinkan untuk mengakses gambar dan video dari pengguna lain.

Untuk alasan yang sama, dimungkinkan juga untuk mengakses server MQTT , protokol pengiriman pesan untuk objek yang terhubung.

Seorang peretas hanya harus menunggu pengguna baru tiba di server ini untuk mendapatkan kunci rahasia yang

memungkinkannya mengakses perangkat dari jarak jauh. Dia kemudian akan dapat menangkap stream video dan audio, merekamnya, mengambil gambar, atau memutar musik.
Serangan tidak terdeteksi
Kamera lain penuh lubang di kamera pengintai Guardzilla . Sekali lagi di sini, manajemen ID yang buruk memungkinkan akses ke seluruh ruang penyimpanan Amazon S3.

Selain itu, bug dalam berbagi aliran memungkinkan koneksi waktu-nyata ke streaming video pengguna tanpa sepengetahuan mereka. Akhirnya, kelemahan perangkat lunak memungkinkan kode arbitrase untuk dijalankan dari jarak jauh pada perangkat dan dengan demikian mengendalikannya. Kekhasan dengan jenis serangan ini adalah bahwa ia melewati infrastruktur cloud yang digunakan oleh sistem. “Ini membuatnya sama sekali tidak terdeteksi untuk perangkat lunak keamanan,” kata Balan.

Pada kamera pengintai Wyze Cam Pan , ceritanya hampir sama. Kelemahan perangkat lunak memungkinkan kendali

jarak jauh perangkat melalui cloud-nya sendiri. Peneliti juga memeriksa gadget Sonoff. Penyedia ini menawarkan soket yang terhubung, tombol yang terhubung, kamera Wi-Fi, dll . Kontrol perangkat oleh peretas sangat sederhana di sini. Yang harus ia lakukan adalah mengetahui pengenal perangkat dan mendaftarkannya melalui akun Sonoff-nya sendiri. Itu semua karena tidak ada bentuk verifikasi. Karena prosedur untuk memperbarui perangkat ini tidak aman, peretas kemudian dapat menginstal firmware sendiri.

Berita baiknya adalah bahwa Sonoff telah memperbaiki kekurangan ini. Semua vendor lain yang disebutkan dalam artikel ini tidak melakukan apa pun, meskipun mereka telah disiagakan selama beberapa bulan. Tidak ada harapan.

Baca Juga:

Comments are closed.