Вопросы безопасности IP-камер типа Baby Cam

 Источник картинки: https://www.cnet.com/how-to/how-to-prevent-your-security-camera-from-being-hacked/ 

Источник картинки: https://www.cnet.com/how-to/how-to-prevent-your-security-camera-from-being-hacked/ 

Сообщения про уязвимости, возникающие в различных устройствах, приходят с печальной регулярностью. Вот одна из последних новостей об очередном скомпрометированном устройстве.

Наша команда аналитиков проводила исследование ландшафта IoT устройств, и в этой статье мы хотим поделиться некоторыми результатами.

При повсеместном распространении и постоянном росте устройств IoT все острее встает вопрос их безопасности. Несмотря на улучшения в данной сфере, все еще распространены такие проблемы, как «зашивание» учетных данных администратора в прошивку устройства, а также отсутствие требований по смене стандартных логина и пароля при первоначальной настройке. Эти уязвимости позволяют даже неспециалистам получить доступ к данным устройствам. Злоумышленники могут использовать как специализированные сетевые сканеры, такие как nmap, так и веб-поисковики типа shodan.io. Очень ярко проблема отражена в репортаже Fox News. Только представьте, был обнаружен русский вебсайт, где можно было получить несанкционированный доступ к 73000 камер по всему миру и 11000 камер в США!. Еще пара репортажей (первый, второй) показывают, как современные технологии упрощают слежку за нами.

И, несмотря на то, что репортажи далеко не новые, они отлично отражают ситуацию с безопасностью на рынке IoT. Ниже представлен график, на котором отражена статистка и прогнозы по количеству подключенных устройств.

11.jpg

Началом нашего исследования стала статья о 10 уязвимостях в «видеонянях». Оценив актуальность и важность темы, мы приступили к исследованиям. Основной причиной исследования стало то, что Baby Cam, в отличии от многих других устройств, могут снимать и передавать звук одновременно. Они могут являться каналом утечки чрезвычайно «чувствительных» данных. В частности, можно вспомнить ужасающий случай, который произошел с ребенком в Техасе: злоумышленник получил доступ к Baby Cam и попытался разбудить младенца! Родители были в ужасе. Только представьте, какое влияние может оказать на ребенка голос из камеры. Младенца это может напугать и разбудить, а более взрослого ребенка может убедить сделать все что угодно. Именно потому, что дети являются самыми уязвимыми из нас, мы решили провести анализ безопасности “видеонянь".

Целью нашего исследования являлось подтверждение или отрицание несанкционированного использования Baby Cam.

На первом шаге мы отобрали несколько самых популярных моделей камер на момент начала исследования:

  • TRENDnet WiFi Baby Cam TV-IP743SIC;
  • Gynoii;
  • Lens Peek-a-View;
  • Summer Baby Zoom WiFi Monitor & Internet Viewing System;
  • Philips In.Sight B120/37;
  • iBaby M3S;
  • iBaby M6;

После этого были определены сервисные домены, через которые происходит трансляция потока с камер. Используя технологии обработки больших данных (Hadoop & Python) были проработаны примерно 7000 Гб обезличенных данных, которые поступают к нам от множества провайдеров со всего мира, за период с 09-01-2016 по 03-06-2017.

Мы выбрали три модели камер, по которым обнаружилась наибольшая активность:

  • Gynoii;
  • iBaby M3S;
  • iBaby M6;

Cтатистика (число запросов, query_count – qc; число клиентов, client_count – cc) по камерам (iBaby объединены в одну группу) за данных период составила:

  • iBaby: 19517 (qc)/ 9734 (cc)
  • Gynoii: 1652 (qc)/841 (cc)

Ниже представлены графики, на которых показаны значения qc и сс для данных 2 брендов Baby Cam за исследуемый период.

 Рисунок        SEQ "Рисунок"     1       - iBaby

Рисунок 1 - iBaby

 Рисунок        SEQ "Рисунок"     2       – Gynoii

Рисунок 2 – Gynoii

Так же для примера дадим график, показывающий отношение qc/cc для домена google.com – это позволило нам сравнить отношения запросов к клиентам и выявить аномалии.

 Рисунок        SEQ "Рисунок"     3       - Google.com

Рисунок 3 - Google.com

Из графиков видно, что присутствуют явные всплески числа запросов при сохранении того же количества клиентов. Для камер iBaby это период с 15.12.2016 по 02.02.2017 (с сильным пиком 19.01.2017). Для камеры Gynoii: с 29.09.2016 по 13.10.2016; с 17.12.2016 по 04.01.2017; с 29.02.2017 по 08.02.2017.

Особенно нас заинтересовали пики:

  • 28.12.2016 – пики имеются на данных для всех моделей исследуемых камер. Данная аномалия может свидетельствовать о появлении информации в интернете о возможности несанкционированного подключения к данным камерам (и последующего наплыва воспользовавшихся данной информации).
  • 03.02.2017 – слишком большой пик, который с высокой долей вероятности указывает на несанкционированные подключения (слишком большое количество запросов, для, например, обновления ПО).

На основании приведенных выше исследований мы сделали вывод , что происходит активное использование «уязвимостей» в Baby Cam. Если производители «видеонянь» не хотят исправлять ситуацию, то общественным организациям и компаниям в сфере информационной безопаности стоит вести более активную просветительскую работу с родителями и предупреждать их о рисках использования веб-камер без перенастройки в целях безопасности.