Pembaruan (28 Februari 2020)
Sehubungan dengan temuan BitDefender, iBaby Labs telah memberikan saran berikut kepada pelanggannya:
Pengguna iBaby yang terhormat,
Setelah seharian meneliti dan menyelidiki potensi masalah seperti yang diposting di beberapa sumber media, kami mendapatkan pembaruan sebagai berikut:
Masalah:
Sumber online melaporkan potensi kerentanan iBaby M6S pada 26-27 Februari.
Apa yang telah dilakukan iBaby:
Kami telah segera menonaktifkan informasi autentikasi AWS yang berpotensi disusupi. Selain itu, kami telah mengambil beberapa langkah untuk memperketat keamanan seperti membatasi akses penyimpanan cloud dan meningkatkan konfigurasi server MQTT untuk secara ketat membatasi topik langganan setiap perangkat. Kami terus meningkatkan semua upaya keselamatan kami.
Informasi yang berpotensi terkena dampak:
Beberapa informasi diunggah ke penyimpanan cloud S3 oleh perangkat. Sejauh ini, tidak ada peretasan yang terlihat dan tidak ada informasi penting mengenai akun Anda yang terpengaruh (nama pengguna, kata sandi).
Apa yang dapat Anda lakukan:
Karena tidak ada pelanggaran data, akun iBaby Anda aman dan terlindungi. Namun, sebagai tindakan pengamanan, Anda harus mengubah sandi secara berkala dan menghapus pengguna undangan yang tidak aktif. Kami juga menyarankan agar Anda tidak menggunakan kata sandi yang mirip dengan situs web lain.
Apa yang akan dilakukan iBaby:
Segera kami juga akan merilis pembaruan firmware untuk diluncurkan ke perangkat Anda. Setelah tersedia, Anda akan menerima pemberitahuan. Ini akan lebih meningkatkan keamanan data.
Sejak iBaby Labs didirikan pada tahun 2011, keamanan pelanggan telah menjadi prioritas #1 kami. Kami dengan tulus berterima kasih kepada pengguna setia kami selama lebih dari sepuluh generasi produk.
Kami sangat bersyukur monitor iBaby kami ditampilkan di banyak artikel dan saluran online terkemuka dan dinominasikan sebagai perangkat teratas di industri monitor bayi. Kami juga berterima kasih atas laporan mendalam dari peneliti dan reporter serta membantu membangun ekosistem IoT yang lebih baik untuk semua orang. Kami akan terus berusaha merancang dan memproduksi monitor bayi terbaik di pasaran!
Informasi lebih lanjut
Jika Anda memiliki pertanyaan lebih lanjut, silakan hubungi tim kami: supp[email protected] atau kunjungi situs web kami www.ibabylabs.com
Jika Anda adalah anggota media dan ingin menghubungi kami, silakan kirim email kepada kami di [email protected]
Salam,
Lab iBaby
Pembaruan (28 Februari 2020)
iBaby telah mengeluarkan pernyataan berikut sebagai tanggapan atas permintaan kami untuk mengomentari temuan BitDefender:
“Telah menjadi perhatian kami bahwa artikel online tertentu (diterbitkan 26-27 Februari 2020) mengenai kerentanan iBaby M6S kami telah menimbulkan kekhawatiran. Kami ingin meyakinkan Anda bahwa keamanan basis data pelanggan kami adalah dan selalu prioritas #1 terbaik kami.
“Kami mengikuti pedoman privasi pemerintah yang ketat dan menggunakan standar industri tertinggi untuk menjaga keamanan data pelanggan kami.
“Namun, kami dengan cepat meneliti laporan ini dan memverifikasi validitas klaim.
“Saat ini kami belum menerima laporan kompromi data. Kami juga bekerja sama dengan anggota media untuk meneliti dan menyelidiki laporan mereka.”
Kisah asli berlanjut di bawah ini
Peneliti keamanan telah menemukan kerentanan dalam monitor bayi video populer, yang memungkinkan orang asing melihat rekaman dari kameranya, dan bahkan mengendalikan perangkat dari jarak jauh.
Di satu sisi, monitor bayi yang cerdas sepertinya ide yang bagus untuk orang tua baru, memungkinkan mereka untuk mengawasi anak-anak mereka menggunakan aplikasi smartphone. Sayangnya, jika langkah-langkah keamanan tidak diterapkan dengan benar, itu bisa menjadi risiko privasi yang serius.
Pakar dari Bitdefender (terbuka di tab baru) (bekerja sama dengan PCMag (terbuka di tab baru)) menemukan kerentanan parah pada iBaby Monitor M6S, yang memungkinkan pihak ketiga mengakses file yang disimpan, memperoleh informasi pribadi, dan mengambil alih kamera itu sendiri.
Menyelam ke firmware perangkat mengungkapkan bahwa, meskipun kamera menggunakan standar enkripsi yang kuat, mereka tidak diterapkan dengan benar. Kamera mengirimkan data terenkripsi ke server iBaby menggunakan HTTPS, tetapi sertifikat keamanan tidak divalidasi, sehingga dapat dicegat oleh serangan man-in-the-middle (terbuka di tab baru).
Apa yang dapat Anda lakukan
Jadi seberapa besar kemungkinan seseorang mengeksploitasi kelemahan seperti itu? Mungkin lebih dari yang Anda harapkan.
Pada demonstrasi keamanan untuk peluncuran Kotak Bitdefender, TechRadar melihat betapa mudahnya menemukan dan mengambil kendali jarak jauh dari kamera IP yang tidak diamankan dengan baik. Ini sangat mudah, tidak memerlukan peralatan ahli dan sedikit pengetahuan khusus.
Banyak kamera bahkan lebih rentan daripada monitor iBaby, berkat masalah seperti login admin hard-coded, dan firmware berdasarkan kode sumber terbuka lama dengan kelemahan yang dipublikasikan dengan baik.
Bitdefender dan TechRadar telah menghubungi iBaby untuk memberikan komentar, tetapi sejauh ini perusahaan tersebut belum membalas. Mudah-mudahan itu akan segera menanggapi temuan para peneliti dan mengeluarkan pembaruan yang akan menambal kerentanan, tetapi untuk saat ini satu-satunya ‘solusi’ adalah memutuskan sambungan perangkat dari jaringan Anda.
Perangkat Internet of Things bisa sangat berguna, tetapi perlu berhati-hati. Adalah bijaksana untuk hanya membeli produk dari merek terkenal yang akan menahan diri (dan dipegang) dengan standar yang ketat. Selalu instal pembaruan firmware apa pun segera setelah tersedia, dan berlangganan pemberitahuan email dari perusahaan sehingga Anda mengetahui jika terjadi kesalahan.
Ada baiknya juga mempertimbangkan untuk berinvestasi dalam firewall perangkat keras (terbuka di tab baru) yang akan memantau lalu lintas jaringan masuk dan keluar untuk semua perangkat Anda, dan memberi tahu Anda jika ada sesuatu yang tidak biasa.