Consumer Reports обнаружил, что некоторые видеозвонки Amazon’s Choice имеют настолько плохую защиту, что совершенно незнакомый человек может подключить свой телефон к вашему дверному звонку, просто удерживая внешнюю кнопку в течение восьми секунд.
Злоумышленники могут даже получить доступ к неподвижным изображениям, находящимся за тысячи миль, без необходимости каких-либо учетных данных для вашей учетной записи, создавая кошмар конфиденциальности…
Организация по защите прав потребителей обнаружила, что одни и те же видеодомофоны продавались под разными торговыми марками.
Они продавались под двумя торговыми марками: Eken и Tuck. […] Поиски в Интернете быстро выявили еще как минимум 10, казалось бы, идентичных видеодомофонов, продаваемых под разными торговыми марками, и все они управляются через одно и то же мобильное приложение под названием Aiwit, принадлежащее Eken. Мы купили два таких продукта, продаваемых под брендами Fishbot и Rakeblue, и обнаружили одни и те же уязвимости.
Первой вопиющей неудачей стало полное отсутствие безопасности при физическом доступе.
Видеодомофоны представляют особую угрозу для людей, которым угрожает опасность со стороны людей, знающих, где они живут.
Любой, кто имеет физический доступ к одному из дверных звонков, может завладеть устройством — для этого не нужны никакие инструменты или сложные навыки взлома. Давайте представим, что жестокий бывший парень хочет наблюдать за приходами и уходами своей бывшей партнерши и ее детей. Ему просто нужно будет создать учетную запись в приложении для смартфона Aiwit, затем пойти в дом своей цели и удерживать кнопку дверного звонка, чтобы перевести ее в режим сопряжения. Затем он мог подключить дверной звонок к точке доступа Wi-Fi и получить контроль над устройством.
Как новый «владелец» устройства он теперь мог наблюдать, кто и когда приходит и уходит.
Во-вторых, это возможность доступа к неподвижным изображениям с сервера без каких-либо учетных данных.
Как только сталкер получит серийный номер, он сможет продолжать удаленно получать доступ к неподвижным изображениям из видеопотока. (Журналист CR предоставил Блэру серийный номер, чтобы он мог получить удаленный доступ к ее камере.) Никакого пароля или даже учетной записи в компании не требуется, и владельцу дверного звонка не отправляется никаких уведомлений.
В нашем сценарии опасный субъект будет продолжать видеть фотографии всех, кто приходит и уходит, с отметкой времени. И если он решит поделиться этим серийным номером с другими людьми или даже опубликовать его в Интернете, все эти люди тоже смогут отслеживать изображения.
Если кто-то не нацелен на конкретного человека и просто хочет получить доступ к случайным камерам, он может просто попробовать серийные номера. Хотя это не позволяет им просматривать видео, но дает доступ к неподвижным изображениям.
Consumer Reports сообщает, что по крайней мере два бренда – Eken и Tuck – были рекомендованы в качестве выбора Amazon, даже после того, как Amazon был предупрежден о проблеме.
Многие веб-сайты в прошлом отмечали, что рейтинги Amazon’s Choice далеки от надежного руководства, поскольку отсутствует прозрачность в отношении того, как они выбираются. На момент написания статьи бренды-нарушители все еще продаются.
Фото: Eken/Amazon в рамках добросовестного использования | Фон от Siora Photography на Unsplash
