| 29 февраля 2024 г. — 5:00 PT
Consumer Reports обнаружила, что некоторые видеодомофоны Amazon’s Choice имеют настолько плохую безопасность, что посторонний может подключить свой телефон к вашему домофону, просто удерживая внешнюю кнопку в течение восьми секунд.
Злоумышленники могут даже получать доступ к статическим изображениям с тысяч миль, не требуя никаких учетных данных для вашей учетной записи, создавая кошмар для конфиденциальности…
Организация по защите прав потребителей обнаружила, что те же видеодомофоны продаются под множеством названий брендов.
Они продавались под двумя торговыми марками, Eken и Tuck […] Онлайн-поиски быстро выявили по крайней мере 10 аналогичных видеодомофонов, продаваемых под различными брендами, все управляются через одно и то же мобильное приложение Aiwit, принадлежащее Eken. Мы приобрели два из этих продуктов, продаваемых под брендами Fishbot и Rakeblue, и обнаружили те же уязвимости.
Первый вопиющий недостаток заключался в полном отсутствии безопасности при физическом доступе.
Видеодомофоны представляют особую угрозу для людей, находящихся в опасности от тех, кто знает, где они живут.
Любой, кто может физически получить доступ к одному из домофонов, может завладеть устройством — никаких инструментов или сложных навыков взлома не требуется. Представим, что бывший бойфренд-абьюзер хочет следить за приходом и уходом своей бывшей партнерши и ее детей. Ему просто нужно будет создать учетную запись в приложении для смартфона Aiwit, затем отправиться к цели домой и нажать кнопку дверного звонка, чтобы перевести его в режим сопряжения. Затем он сможет подключить домофон к точке доступа WiFi и получить контроль над устройством.
Как новый «владелец» устройства, он теперь сможет наблюдать, кто и когда приходит и уходит.
Второе — это возможность получать доступ к статическим изображениям с сервера без каких-либо учетных данных.
Как только сталкер получит серийный номер, он сможет продолжать удаленно получать статические изображения с видеопотока. (Журналист CR предоставил серийный номер Блэру, чтобы позволить ему удаленно получить доступ к ее камере.) Пароль или даже учетная запись компании не нужны, и уведомление владельцу домофона не отправляется.
В нашем сценарии опасный злоумышленник продолжит видеть фотографии всех, кто приходит и уходит, с отметкой времени. И если он решит поделиться этим серийным номером с другими людьми или даже опубликовать его в Интернете, все эти люди тоже смогут отслеживать изображения.
Если кто-то не нацеливается на конкретного человека, а просто хочет получить доступ к случайным камерам, он может просто попробовать серийные номера. Хотя это не позволяет им просматривать видео, это дает доступ к статическим изображениям.
Consumer Reports заявила, что по крайней мере два бренда — Eken и Tuck — были рекомендованы как Amazon’s Choice, даже после того, как Amazon была уведомлена о проблеме.
Множество веб-сайтов отмечали в прошлом, что рейтинги Amazon’s Choice далеко не надежное руководство, с полным отсутствием прозрачности в отношении того, как они выбираются. Проблемные бренды остаются в продаже на момент написания.
Еще раз повторяем нашу рекомендацию — придерживаться камер, которые поддерживают HomeKit Secure Video от Apple.
Фото: Eken/Amazon по принципу добросовестного использования | Фон от Siora Photography на Unsplash