Test: Kan din babymonitor kapas av hackare?

Vi har granskat två vanliga babyvakter, eller babymonitorer, med kamerafunktion. Testerna visar på tydliga säkerhetsrisker - här tipsar vi om vad du bör tänka på om du har eller funderar på att skaffa en babyvakt.

Test: Kan din babymonitor kapas av hackare?

Risker med babymonitorer

  1. Risker med hemnätverket

    Babymonitorerna vi undersökte kopplas upp mot hemnätverket. Kommunikationen mellan kameran som bevakar babyn och appen skickades helt okrypterat. Det innebär att det är enkelt för en hackare att komma åt både ljud och bild om de har tillgång till någon annan enhet i ditt hemnätverk, eller om du delar ditt nätverk med andra.

  2. Sårbar i installationsläget

    En uppkopplad enhet i installationsläge kan vara extra sårbar eftersom den ofta agerar som ett eget nätverk med ett förinställt standardlösenord. Detta är för att göra det enkelt att komma i gång med produkten. Därför är det viktigt att man inte låter den stå inkopplad utan att slutföra installationen eller efter att man har gjort en så kallad fabriksåterställning.

  3. Olika kommunikationssätt

    På marknaden finns det flera babymonitorer som ansluts till internet, men också mer traditionella varianter som använder sig av radiokommunikation. Fördelen med de produkter som inte är internetanslutna är att de bara kan kommunicera med en dedikerad enhet som finns i närheten.

    ”Överväg om det är värt risken att ha babymonitor som är kopplad till internet. Fördelen är ju att du kan övervaka ditt barn på längre avstånd, men för många är just den funktionen inte så viktig om du ändå tänkt vara i närheten.”

    Mari Sparr, teknikexpert Länsförsäkringars Forskningsfond

Icons/70px/Quotation-mark-70
”Överväg om det är värt risken att ha babymonitor som är kopplad till internet. Fördelen är ju att du kan övervaka ditt barn på längre avstånd, men för många är just den funktionen inte så viktig om du ändå tänkt vara i närheten.”
Mari Sparr, teknikexpert Länsförsäkringars Forskningsfond

Så gick testet till

Vår granskning genomfördes av Länsförsäkringars Forskningsfond i samarbete med forskningsinstitutet RISE, som lät teknikexperter leta efter säkerhetsrisker med två vanliga typer av babymonitorer som säljs på den svenska marknaden. Bland annat undersöktes om en hackare kunde komma åt ljud och video via hemnätverket.

Risker och problem

Nästan alla uppkopplade enheter kan vara potentiella säkerhetsrisker i hemmet. Som privatperson kan det vara svårt att identifiera och bedöma riskerna. En babymonitor är en av alla produkter som kan ge möjlighet för utomstående att ta sig in i nätverk eller komma åt känslig information.

Om en hackare lyckas få kontroll över en annan uppkopplad enhet i nätverket kan det skapa en väg till att avlyssna babyvaktens kommunikation. På så vis kan en person som inte befinner sig i huset få tillgång till ljud och bild från produkten.

Vissa modeller av babymonitorer har inbyggda kameror som används för att kunna se barnet när det sover. Om en utomstående får kontroll över en sådan modell kan den få möjlighet att spionera på både barn och vuxna, och ta del av material som kan vara integritetskränkande.

Säkerhetstest av vanliga babymonitorer

Testet gjordes på två vanligt förekommande babymonitorer med kamera och internetanslutning, en billigare variant och en dyrare.

Babymonitorerna skickar ljud och bild över nätverket till den tillhörande appen och det kan gå till på två olika sätt.  

För den billiga varianten gäller att om mobilen med appen befinner sig i samma lokala nätverk som babyvakten, skickas informationen direkt till telefonen. Denna kommunikation initieras av appen och för detta krävs inte någon autentisering. Det innebär att någon med lokal nätverksåtkomst (genom en dator, telefon eller annan enhet) till babyvakten kan öppna kommunikation med den och få en video-ström från kameran. Innan kameran har anslutits första gången, agerar den som accesspunkt med ett öppet wifi-nätverk och genom att ansluta till det nätverket är det möjligt att se genom kameran på samma sätt som genom appen.

Om telefonen med appen i stället befinner sig utanför det lokala nätverket överförs den med samma kodning. Den här kommunikationen verkar inte vara krypterad, men testet lyckades inte identifiera kommunikationsprotokollet. Genom att fånga den information som skickas från babymonitorn är det möjligt att få delar av videon som den fångar. För den billigare varianten som undersöktes visade testet att all information som behövs för att återskapa videoströmmen skickas i okrypterad form.

Kommunikationen mellan appen och servern sker krypterat (TLS) och testen har inte kunnat hitta några brister I denna kommunikation.

Den dyrare babyvakten skickar ljud och bild krypterat och kräver också autentisering. Det fanns eventuellt möjligheter att få tillgång till information från servern om vilken firmware som körs på babyvakten, men testet undersökte inte denna möjlighet vidare eftersom det inte fanns några tydliga tecken på säkerhetsbrister.

Det här kan du göra själv för att minska riskerna

  • Avsluta påbörjad installation
    Lämna aldrig babyvakten i installationsläge när du installerar den första gången eller efter att du har gjort en fabriksåterställning. Ofta öppnar dessa enheter ett eget trådlöst nätverk som används för att göra inställningar första gången. Dessa nätverk har ofta svaga lösenordsskydd eller saknar dem helt.
  • Använd gästnätverk
    Koppla upp digitala enheter till ett gästnätverk. Babymonitorerna som kräver en internetanslutning för att man ska få tillgång till alla funktioner behöver inte kommunicera med några andra lokala enheter. Ett gästnätverk kan ge den internetanslutning som behövs för funktionerna, men innebär att det är svårare att ta del av annan information som skickas i hemnätverket.
  • Olika lösenord
    Var försiktig med dina lösenord. När du registrerar dig till tjänster är det viktigt att inse vilken information du ger dem tillgång till. Hur uppgifter som lösenord hanteras lämnas upp till företaget som driver tjänsten och kan vara svårt som privatperson att kontrollera. Om man återanvänder lösenord så krävs det bara att en enda tjänst gör misstag med lösenordshanteringen för att flera av dina konton ska äventyras.
  • Kolla tillverkaren
    När du ska köpa en babymonitor, gör en sökning på nätet för att se om det finns en historia av säkerhetsproblem. Det viktiga är inte att historian är helt felfri utan att tillverkaren har tagit eventuella problem på allvar och löst dem på ett bra sätt.
  • Behöver din babymonitor vara uppkopplad?
    Fundera på om din babymonitor behöver vara uppkopplad. Många babymonitorer fungerar utan en internetanslutning, men du kan då inte kontrollera dem genom en app eller liknande. Om du ändå planerar att befinna dig i närheten av ditt barn när det sover kan det vara idé att köpa en babymonitor som använder sig av radiokommunikation.