Το βίντεοκουδούνι που μπορεί να προκαλέσει προβλήματα ασφάλειας
Το βιντεοκουδούνι σας μοιάζει με αυτό της εικόνας; Ίσως το αγοράσατε φτηνά στο
Amazon
, το Temu, το Shein, το Sears ή το Walmart; Χρησιμοποιεί
την εφαρμογή Aiwit
?
Αναφορές Καταναλωτή
αναφέρει
η ασφάλεια σε αυτές τις κάμερες είναι έτσι
απίστευτα χαλαρός, οποιοσδήποτε θα μπορούσε να φτάσει στο σπίτι σας, να πάρει το κουδούνι της πόρτας σας και
μόνιμα
αποκτήστε πρόσβαση στις στατικές εικόνες
που
τραβάει — ακόμα κι αν αναλάβετε τον έλεγχο.
Οι κάμερες πωλούνται από μια κινεζική εταιρεία που ονομάζεται Eken με τουλάχιστον δέκα διαφορετικές μάρκες, συμπεριλαμβανομένων των Aiwit, Andoe, Eken, Fishbot, Gemee, Luckwolf, Rakeblue και Tuck.
Αναφορές Καταναλωτή
λέει ότι διαδικτυακές αγορές όπως η Amazon πωλούν χιλιάδες από αυτά κάθε μήνα. Μερικοί από αυτούς έφεραν ακόμη και το σήμα του Amazon’s Choice, την αμφίβολη σφραγίδα έγκρισης του.
Ωστόσο, η Amazon δεν απάντησε καν
Αναφορές Καταναλωτή
ευρήματα τελευταία που είχαμε ακούσει, πολύ λιγότερο να τραβήξουν τις κάμερες από τα εικονικά ράφια του.
Εδώ είναι ένα από αυτά σε προσφορά αυτή τη στιγμή
. Η εφαρμογή αγορών Temu, τουλάχιστον, είπε
CR
θα σταματούσε τις πωλήσεις αφού άκουγε πόσο απίστευτα εύκολο είναι να χακάρεις.
Ειλικρινά, το “hack” μπορεί να είναι πολύ δυνατή λέξη
Όχι μόνο αυτές οι κάμερες φέρεται να εκθέτουν τη δημόσια διεύθυνση IP και το δίκτυο Wi-Fi σας σε απλό κείμενο σε οποιονδήποτε μπορεί να υποκλέψει την κυκλοφορία του δικτύου σας (ελπίζουμε να μην τα ελέγχετε στο δημόσιο Wi-Fi!),
φέρεται να μεταδίδουν στιγμιότυπα της μπροστινής βεράντας σας σε διακομιστές ιστού που δεν ζητούν κανένα όνομα χρήστη ή κωδικό πρόσβασης
.
Ενας
Αναφορές Καταναλωτή
Το προσωπικό ασφαλείας μπόρεσε να αποκτήσει ελεύθερα πρόσβαση σε εικόνες του προσώπου ενός συναδέλφου από μια
κάμερα
Eken στην άλλη άκρη της χώρας, μόνο με τον εντοπισμό της σωστής διεύθυνσης URL.
Ακόμη χειρότερα, το μόνο που χρειάζεται ένας κακός ηθοποιός για να καταλάβει αυτές τις διευθύνσεις ιστού είναι ο σειριακός αριθμός της φωτογραφικής σας μηχανής.
Ακόμη χειρότερα, ένας κακός ηθοποιός θα μπορούσε να πάρει αυτόν τον σειριακό αριθμό απλά κρατώντας πατημένο το κουμπί του κουδουνιού της πόρτας για οκτώ δευτερόλεπτα και μετά επανασύζευξη
τα δικα σου
κάμερα με
δικα τους
λογαριασμό στην εφαρμογή
smartphone
Aiwit. Και έως ότου αναλάβετε ξανά τον έλεγχο της δικής σας κάμερας, θα λαμβάνουν επίσης βίντεο και ήχο.
Ακόμη χειρότερα, αυτός ο κακός ηθοποιός θα μπορούσε στη συνέχεια να μοιραστεί αυτούς τους σειριακούς αριθμούς με οποιονδήποτε άλλο στο Διαδίκτυο.
Αναφορές Καταναλωτή
μας λέει ότι μόλις βγει ο σειριακός αριθμός στη φύση, ένας κακός ηθοποιός μπορεί να γράψει ένα σενάριο που θα συνεχίσει να κατεβάζει τυχόν νέες εικόνες που δημιουργούνται από την κάμερα.
Εικόνα: Eken
Υποθέτω ότι θα μπορούσατε να πείτε “Λοιπόν, αυτές οι κάμερες βλέπουν μόνο σε εξωτερικούς χώρους και δεν με νοιάζει αυτό”, αλλά ο Eken
διαφημίζει κάμερες εσωτερικού χώρου
επισης. (
Αναφορές Καταναλωτή
μας λέει ότι δεν έχει δοκιμάσει ακόμα άλλα μοντέλα της Eken.) Επίσης, πραγματικά δεν θέλω οι κακοί ηθοποιοί να γνωρίζουν ακριβώς πότε φεύγω από το σπίτι μου.
Μπορεί να πείτε “Α, αυτό δεν είναι μεγάλη
απε
ιλή επειδή ένας κακός ηθοποιός χρειάζεται τοπική πρόσβαση στην κάμερα” — αλλά αυτό προϋποθέτει ότι δεν μπορούν να βρουν έναν τρόπο
τυχαία
χτυπήστε τους σειριακούς αριθμούς εργασίας ή στρατολογήστε πειρατές της βεράντας σε καμβά γειτονιές. Τουλάχιστον οι σειρικοί αριθμοί φαίνονται να είναι τυχαιοποιημένοι, όχι επαυξητικοί,
Αναφορές Καταναλωτή
πες μας.
Θα μπορούσατε επίσης να πείτε “Δεν θα σταματήσει ο Eken να φιλοξενεί αυτές τις εικόνες σε ελεύθερα προσβάσιμες διευθύνσεις URL;” Θα ήταν καλό, αλλά προφανώς δεν μπόρεσε να ανταποκριθεί
Αναφορές Καταναλωτή
‘
αιτήματα για σχολιασμό.
Κάνουν τίποτα οι διακομιστές Aiwit για να εμποδίσουν τους χάκερ να δοκιμάσουν απλώς τυχαία διευθύνσεις URL μέχρι να βρουν εικόνες από τις κάμερες των ανθρώπων; Αν είναι έτσι,
Αναφορές Καταναλωτή
δεν το εχει δει ακομα.
«Έχω κάνει δεκάδες χιλιάδες αιτήματα χωρίς να ενεργοποιούνται μηχανισμοί άμυνας»
Αναφορές Καταναλωτή
Λέει ο μηχανικός απορρήτου και ασφάλειας Steve Blair
Το χείλος
μέσω εκπροσώπου. «Στην πραγματικότητα, ήμουν σκόπιμα θορυβώδης (εκατοντάδες αιτήματα ταυτόχρονα, από μία μόνο IP/πηγή, επαναλαμβανόμενα κάθε δύο λεπτά) για να προσπαθήσω να προσδιορίσω εάν υπήρχαν άμυνες. Δεν είδα κανέναν περιορισμό».
Τουλάχιστον
Αναφορές Καταναλωτή
δεν υποδηλώνει ακόμη ότι αυτό έχει εκμεταλλευτεί στη φύση.
Δεν επιβεβαιώσαμε ανεξάρτητα αυτά τα ελαττώματα, αλλά διαβάσαμε τις αναφορές ευπάθειας
CR
μοιράζεται με τον Eken και μια άλλη επωνυμία με το όνομα Tuck. Και δεν θα ήταν η πρώτη φορά που μια εταιρεία κάμερας «ασφάλειας» παραμελεί βασικές πρακτικές ασφαλείας και παραπλανά τους πελάτες.
Η Eken πουλά μια μεγάλη ποικιλία από βιντεοκουδούνια κάτω από μια ακόμη μεγαλύτερη ποικιλία επωνυμιών.
Αναφορές Καταναλωτή
επισημαίνει ότι τα κουμπιά και η απόσταση των αισθητήρων είναι παρόμοια, ωστόσο.
Εικόνα: Eken
Η Anker παραδέχτηκε ότι οι πάντα κρυπτογραφημένες κάμερές της Eufy δεν ήταν πάντα κρυπτογραφημένες αφού οι συνάδελφοί μου και εγώ μπορούσαμε να έχουμε πρόσβαση σε μια μη κρυπτογραφημένη ζωντανή ροή από όλη τη χώρα, χρησιμοποιώντας μια διεύθυνση που, όπως το Eken, αποτελούνταν σε μεγάλο βαθμό από τον σειριακό αριθμό της κάμερας.
Εν τω μεταξύ, ο Wyze επέτρεψε πρόσφατα σε τουλάχιστον 13.000 πελάτες να δουν για λίγο την ιδιοκτησία ενός ξένου – τη δεύτερη φορά που το έκανε αυτό – στέλνοντας ροές κάμερας σε λάθος χρήστες. Και αυτό έγινε αφού η εταιρεία σάρωσε μια διαφορετική ευπάθεια ασφαλείας κάτω από το χαλί για τρία ολόκληρα χρόνια.
Αλλά η ευπάθεια Eken μπορεί να είναι ακόμη χειρότερη, επειδή ακούγεται
μακριά
ευκολότερα στην εκμετάλλευση και επειδή φέρουν λευκή ετικέτα με τόσες πολλές διαφορετικές μάρκες που είναι πιο δύσκολο να διαμαρτυρηθούν ή να αστυνομευτούν.
Αναφορές Καταναλωτή
λέει ότι ακόμη και αφού η Temu τράβηξε μερικά από τα ανησυχητικά κουδούνια, συνέχισε να πουλάει άλλα – και ότι από τα τέλη Φεβρουαρίου, παρά τις προειδοποιήσεις της στους λιανοπωλητές, τα περισσότερα από τα προϊόντα που βρήκε εξακολουθούσαν να πωλούνται.
VIA:
theverge.com
