Dzięki temu dzwonkowi wideo „Amazon’s Choice” każdy może Cię szpiegować


Czy Twój dzwonek wideo wygląda podobnie do tego na zdjęciu? Być może kupiłeś go tanio w Amazon, Temu, Shein, Sears lub Walmart? Czy używa aplikację Aiwita?

Raporty konsumenckie raportuje zabezpieczenia tych kamer są takie niesamowicie luźny, każdy może podejść do twojego domu, przejąć dzwonek do drzwi i na stałe uzyskaj dostęp do zarejestrowanych przez niego zdjęć — nawet jeśli odzyskasz kontrolę.

Kamery sprzedawane są przez chińską firmę Eken pod co najmniej dziesięcioma różnymi markami, w tym Aiwit, Andoe, Eken, Fishbot, Gemee, Luckwolf, Rakeblue i Tuck. Raporty konsumenckie twierdzi, że sklepy internetowe, takie jak Amazon, sprzedają tysiące produktów każdego miesiąca. Niektórzy z nich noszą nawet odznakę Amazon’s Choice, jego wątpliwą pieczęć aprobaty.

Jednak Amazon nawet nie odpowiedział Raporty konsumenckie ustaleń, o których ostatnio słyszeliśmy, a tym bardziej wycofywania kamer z wirtualnych półek. Oto jeden z nich, który jest obecnie w sprzedaży. Przynajmniej aplikacja zakupowa Temu powiedziała CR wstrzymałoby sprzedaż, gdy dowiedziałbyś się, jak niewiarygodnie łatwo jest je zhakować.

Szczerze mówiąc, „hack” to może za mocne słowo

Według doniesień te kamery nie tylko ujawniają Twój publiczny adres IP i sieć Wi-Fi w postaci zwykłego tekstu każdemu, kto może przechwycić ruch sieciowy (miejmy nadzieję, że nie sprawdzasz ich w publicznej sieci Wi-Fi!), podobno rozpowszechniają migawki Twojej werandy na serwerach internetowych, które nie wymagają podania nazwy użytkownika ani hasła.

Reklama

Jeden Raporty konsumenckie pracownik ochrony mógł swobodnie uzyskać dostęp do zdjęć twarzy kolegi z kamery Eken znajdującej się na drugim końcu kraju, wystarczyło znaleźć właściwy adres URL.

Co gorsza, aby poznać te adresy internetowe, wystarczy, że zły aktor będzie miał numer seryjny aparatu.

Co gorsza, zły aktor może uzyskać ten numer seryjny, po prostu przytrzymując przycisk dzwonka do drzwi przez osiem sekund, a następnie ponownie parując twój aparat z ich konto w aplikacji na smartfony Aiwit. Dopóki ponownie nie przejmiesz kontroli nad własną kamerą, będą one również otrzymywać obraz i dźwięk.

Co gorsza, ten zły aktor mógłby następnie udostępnić te numery seryjne komukolwiek innemu w Internecie. Raporty konsumenckie mówi nam, że gdy numer seryjny zostanie ujawniony, zły aktor może napisać scenariusz, który będzie po prostu pobierał nowe obrazy wygenerowane przez kamerę.

„Twoja prywatność jest czymś, co cenimy tak samo jak Ty” – czytamy na stronie wideodomofonu Eken.
Zdjęcie: Eken

Myślę, że można by powiedzieć: „No cóż, te kamery są skierowane tylko na zewnątrz i mnie to nie obchodzi”, ale Eken reklamuje kamery skierowane do wnętrz również. (Raporty konsumenckie mówi nam, że nie testował jeszcze innych modeli Eken.) Naprawdę nie chcę też, żeby źli aktorzy dokładnie wiedzieli, kiedy wychodzę z domu.

Możesz powiedzieć: „Och, to nie jest duże zagrożenie, ponieważ zły aktor potrzebuje lokalnego dostępu do kamery” – ale to zakłada, że ​​nie może znaleźć sposobu, aby to zrobić. losowo trafiaj na działające numery seryjne lub rekrutuj piratów z ganków do dzielnic płóciennych. Przynajmniej numery seryjne wydają się być losowe, a nie przyrostowe, Raporty konsumenckie Powiedz nam.

Możesz także powiedzieć: „Czy Eken nie przestanie po prostu udostępniać tych obrazów pod ogólnodostępnymi adresami URL?” Byłoby dobrze, ale najwyraźniej nie było sensu na to odpowiadać Raporty konsumenckie prośby o komentarz.

Czy serwery Aiwit robią w ogóle cokolwiek, aby uniemożliwić hakerom losowe sprawdzanie adresów URL, dopóki nie znajdą obrazów z kamer innych osób? W takim razie, Raporty konsumenckie jeszcze tego nie widział.

„Wysłałem dziesiątki tysięcy żądań bez uruchomienia żadnych mechanizmów obronnych” Raporty konsumenckie– mówi inżynier prywatności i bezpieczeństwa Steve Blair Krawędź za pośrednictwem rzecznika. „W rzeczywistości celowo robiłem hałaśliwe działania (setki żądań na raz, z jednego adresu IP/źródła, powtarzane co kilka minut), aby sprawdzić, czy występują jakieś zabezpieczenia. Nie widziałem żadnych ograniczeń.”

Co najmniej Raporty konsumenckie nie sugeruje jeszcze, że zostało to wykorzystane na wolności.

Nie potwierdziliśmy niezależnie tych błędów, ale przeczytaliśmy raporty o lukach w zabezpieczeniach CR udostępniony Ekenowi i innej marce o nazwie Tuck. Nie byłby to pierwszy przypadek, gdy firma zajmująca się kamerami bezpieczeństwa zaniedbała podstawowe praktyki bezpieczeństwa i wprowadziła klientów w błąd.

Eken sprzedaje szeroką gamę dzwonków wideo pod jeszcze szerszą gamą marek. Raporty konsumenckie Zwraca jednak uwagę, że przyciski i rozstaw czujników są jednak podobne.
Zdjęcie: Eken

Anker przyznał, że jego zawsze szyfrowane kamery Eufy nie zawsze były szyfrowane po tym jak ja i moi koledzy mogliśmy to zrobić uzyskaj dostęp do niezaszyfrowanej transmisji na żywo z całego krajuużywając adresu, który podobnie jak Eken składał się głównie z numeru seryjnego aparatu.

Tymczasem Wyze niedawno pozwolił co najmniej 13 000 klientów krótko zajrzeć do cudzej własności — drugi raz tak się stało — wysyłając nagrania z kamer do niewłaściwych użytkowników. I to było po firmie zamiótł pod dywan inną lukę w zabezpieczeniach przez całe trzy lata.

Ale luka w zabezpieczeniach Eken może być jeszcze gorsza, bo tak się wydaje daleko łatwiejsze do wykorzystania, a także dlatego, że są oznaczone białą etykietą pod tak wieloma różnymi markami, że trudniej jest protestować lub ścigać.

Raporty konsumenckie twierdzi, że nawet po tym, jak Temu pociągnął za niektóre niepokojące dzwonki do drzwi, nadal sprzedawał inne i że pod koniec lutego, pomimo ostrzeżeń dla sprzedawców detalicznych, większość znalezionych produktów była nadal w sprzedaży.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Które samochody obsługują kluczyk samochodowy w Apple Wallet?

Na WWDC w 2020 r. Apple ogłosiło nowa funkcja kluczyka samochodowego, która umożliwia kontrolowanie samochodu za pomocą aplikacji Portfel na iPhonie lub zegarku...

Funkcje Galaxy AI będą dostępne w telefonach Samsung ostatniej generacji – w tym w serii S21

Według nich Samsung planuje w przyszłym miesiącu udostępnić wybrane funkcje Galaxy AI kilku starszym flagowym telefonom i tabletom za pośrednictwem aktualizacji One UI...

Apple opowiada się za sprzedażą komputerów Mac wyposażonych jedynie w 8 GB pamięci RAM

Wraz z premierą MacBooka Pro M3 w zeszłym roku wielu recenzentów i klientów skrytykował firmę za w dalszym ciągu sprzedaż komputerów klasy premium...
Advertisment