Dlaczego Anker’s Eufy Cameras Upload Scandal pokazuje niebezpieczeństwa związane z automatyką domową

July 30, 2023
WAktualności Ochrona Internetu

Kamery bezpieczeństwa firmy Anker mogą, ale nie muszą, ujawniać niezaszyfrowane strumienie wideo.
Domowym kamerom bezpieczeństwa prawie nie można ufać w 100%.
Możesz jednak zminimalizować ryzyko.

eufyCam 2C Pro (zestaw z 4 kamerami) — eufy

Co się dzieje, gdy nie możesz ufać nawet własnym kamerom bezpieczeństwa?

W zeszłym tygodniu wiadomości wysadziły w powietrze kamery bezpieczeństwa renomowanej firmy Anker firmy Anker przesyłało prywatne dane do chmury i brak zabezpieczenia strumieni wideo. Okazało się to trochę naciągane, ale cała ta porażka ma dobry punkt; nawet jeśli wybierzesz niezawodną, renomowaną markę, skąd wiesz, że twoje kamery bezpieczeństwa nie wyciekną danych lub, co gorsza, nie zostaną zhakowane, aby szpiegować cię we własnym domu?

„Najlepszym sposobem na upewnienie się, że Twoje urządzenia automatyki domowej nie udostępniają potajemnie danych, jest przeprowadzenie badań przed zakupem jakichkolwiek urządzeń” Zak Kann, założyciel serwisu inteligentnego domu Inteligentny dom dla maniaków, powiedział Lifewire za pośrednictwem poczty elektronicznej. „Przeczytaj recenzje i zapoznaj się z polityką prywatności dla urządzeń, które rozważasz. Dobrym pomysłem jest również bycie na bieżąco z najnowszymi wiadomościami dotyczącymi prywatności danych i urządzeń automatyki domowej”.

AnkerGate

W zeszłym tygodniu konsultant ds. bezpieczeństwa, Paul Moore, odkrył dwie poważne luki w zabezpieczeniach domowych kamer bezpieczeństwa firmy Anker — w szczególności w modelu dzwonka do drzwi. Moore wykazał, że kamera przesyłała miniatury pochodzące ze strumienia wideo do magazynu w chmurze, nawet jeśli kamera była ustawiona tak, aby niczego nie przesyłać.

Co gorsza, powiedział, że sam strumień z kamery może zostać przejęty po prostu znając adres URL strumienia.

Najlepszym sposobem na upewnienie się, że Twoje urządzenia automatyki domowej nie udostępniają potajemnie danych, jest przeprowadzenie badań przed zakupem jakichkolwiek urządzeń.

Pierwsza „wada” to brak fabuły. Kamery mogą ostrzegać właścicieli, gdy wykryją coś w ruchu i wysyłać miniaturę kanału na ich telefony. Jak aparat mógł wysłać obraz bez wysyłania go? To nie ma sensu.

Drugi problem jest znacznie gorszy. Jeśli to prawda, umożliwia przeglądanie niezaszyfrowanych strumieni wideo z kamery przy użyciu standardu aplikacja wideo, taka jak VLC. Tyle ile jest warte, Krawędź roszczenia jest to prawdziwy exploit, podczas gdy Anker zdecydowanie temu zaprzecza.

Warto przyjrzeć się tej sytuacji, ale cofnijmy się o krok. Czy w ogóle można używać kamery podłączonej do Internetu w domu i czy jest to bezpieczne?

Niepewność

Krótka odpowiedź brzmi oczywiście: „Nie”. Podłączenie kamery do Internetu wiąże się z ryzykiem. Niewielkie ryzyko może być potencjalnym włamaniem, gdy wszystkie nagrania są przechowywane lokalnie. To wzrasta, jeśli chcesz uzyskać dostęp do tego wideo z dowolnego miejsca za pośrednictwem telefonu. Następnie przechodzimy do wideo przechowywanego w usłudze chmury producenta aparatu i kamer, które są po prostu podłączone do Internetu, ze znanymi adresami URL i bez haseł lub haseł domyślnych.

I niestety, to ty, użytkownik, musisz poruszać się po tym nonsensie.

„Konsumenci są podatni na ataki na produkcję urządzenia, a także na ataki skierowane konkretnie do Ciebie” Amira Tarighata, ekspert ds. prywatności i dyrektor generalny startupu zajmującego się cyberbezpieczeństwem Agencja, powiedział Lifewire za pośrednictwem poczty elektronicznej. „Na przykład tzw Włamanie do Verkady w zeszłym roku polegał na uzyskiwaniu dostępu do urządzeń przez firmową sieć przy użyciu uprawnień administratora do samych kamer. To zawsze stanowi ryzyko, nawet jeśli chcesz chronić swoją sieć domową przed atakującymi „podsłuchującymi” na urządzeniach dostępnych dla każdego, kto ma dostęp do sieci”.

ręka sięgająca do interakcji z eufy doorbellcamera — eufy

Pierwszym krokiem jest zakup od renomowanego producenta, chociaż, jak widzieliśmy wcześniej, nie zawsze jest to dobry przewodnik. Następnie upewnij się, że zmieniłeś wszystkie domyślne hasła.

„Dodatkowo istnieją pewne kroki, które możesz podjąć w celu dalszej ochrony swojej prywatności, takie jak wyłączenie funkcji że nie używasz i nie udostępniasz swoich danych osobowych żadnym urządzeniom automatyki domowej” – mówi Kann.

Inną opcją dla każdego, kto korzysta z urządzeń Apple, jest Bezpieczne wideo HomeKit. Dzięki temu możesz korzystać ze zgodnych aparatów z pamięcią masową Apple iCloud i cieszyć się wszystkimi korzyściami w zakresie bezpieczeństwa i prywatności, jakie zapewnia. Jednak nadal powinieneś wyłączyć wszelkie dodatkowe funkcje, na które pozwala kamera w swoim oprogramowaniu i / lub aplikacji.

Problem polega na tym, że producenci gadżetów nieustannie dodają nowe funkcje, aby ich produkty były bardziej atrakcyjne dla kupujących. Solidne zabezpieczenia nie wyglądają tak dobrze na opakowaniu, a jednocześnie wymagają ciągłych inwestycji, aby je zabezpieczyć.

Jednocześnie niewystarczające regulacje rządowe w tej kategorii i pokusa dla twórców takich jak Amazon wykorzystywać wideo do własnych celów oznacza, że trudno jest komukolwiek zaufać.

Zasadniczo więc, jeśli chcesz mieć kamerę w swoim domu, po prostu staraj się być ostrożny.