Görüntülü kapı ziliniz resimdekine benziyor mu? Belki Amazon, Temu, Shein, Sears veya Walmart'tan ucuza satın aldınız? Kullanıyor mu Aiwit uygulaması?
Tüketici Raporları rapor ediyor bu kameraların güvenliği çok yüksek inanılmaz derecede gevşek, herkes evinize gelebilir, kapı zilinizi çalabilir ve kalıcı olarak kontrolü geri alsanız bile yakaladığı durağan görüntülere erişin.
Kameralar, Eken adlı Çinli bir şirket tarafından Aiwit, Andoe, Eken, Fishbot, Gemee, Luckwolf, Rakeblue ve Tuck dahil olmak üzere en az on farklı marka altında satılıyor. Tüketici Raporları Amazon gibi çevrimiçi pazaryerlerinin her ay binlerce ürün sattığını söylüyor. Hatta bazıları Amazon'un Seçimi rozetini bile taşıdı. şüpheli onay mührü.
Ancak Amazon yanıt bile vermedi Tüketici Raporları Son duyduğumuz bulgular, kameraları sanal raflarından çekmeyi çok daha az etkiliyor. İşte onlardan biri şu an satışta. Alışveriş uygulaması Temu en azından şunu söyledi: CR hacklenmenin ne kadar kolay olduğunu duyduktan sonra satışlar dururdu.
Açıkçası “hack” kelimesi çok ağır olabilir
Bu kameralar yalnızca halka açık IP adresinizi ve Wi-Fi ağınızı, ağ trafiğinizi engelleyebilecek herkese düz metin olarak ifşa etmekle kalmıyor (umarım bunları halka açık Wi-Fi üzerinden kontrol etmiyorsunuzdur!), ön verandanızın anlık görüntülerini herhangi bir kullanıcı adı veya şifre istemeyen web sunucularında yayınladıklarını bildirdiler.
Bir Tüketici Raporları güvenlik personeli, yalnızca doğru URL'yi bularak, ülkenin diğer ucundaki bir Eken kamerasındaki bir meslektaşının yüzünün görüntülerine serbestçe erişebildi.
Daha da kötüsü, kötü bir aktörün bu web adreslerini bulması için ihtiyaç duyacağı tek şey kameranızın seri numarasıdır.
Daha da kötüsü, kötü bir aktör, kapı zili düğmesini sekiz saniye basılı tutarak ve ardından yeniden eşleştirerek bu seri numarasını alabilir. senin kamera ile onların Aiwit akıllı telefon uygulamasında hesap açın. Ve siz kendi kameranızın kontrolünü tekrar alana kadar video ve ses de alacaklar.
Daha da kötüsü, o kötü aktör bu seri numaralarını internetteki herhangi biriyle paylaşabilir. Tüketici Raporları bize, seri numarası ortaya çıktığında kötü bir oyuncunun, kamera tarafından oluşturulan yeni görüntüleri indirmeye devam edecek bir senaryo yazabileceğini söylüyor.
Sanırım “Eh, bu kameralar sadece dışarıya bakıyor ve bu umurumda değil” diyebilirsiniz ama Eken iç mekana bakan kameraların reklamını yapıyor ilave olarak. (Tüketici Raporları henüz diğer Eken modellerini test etmediğini söylüyor.) Ayrıca kötü oyuncuların evimden ne zaman çıktığımı tam olarak bilmesini de gerçekten istemiyorum.
“Ah, bu büyük bir tehdit değil çünkü kötü bir aktörün kameraya yerel erişime ihtiyacı var” diyebilirsiniz; ancak bu, onların bunu yapmanın bir yolunu bulamadıklarını varsayar. rastgele çalışan seri numaralarını bulun veya mahalleleri kanvas hale getirmek için sundurma korsanlarını işe alın. En azından seri numaraları artımlı değil, rastgele seçilmiş gibi görünüyor. Tüketici Raporları bize söyler.
Ayrıca “Eken bu görselleri ücretsiz erişilebilen URL'lerde barındırmayı bırakmayacak mı?” diyebilirsiniz. Bu iyi olurdu, ama görünüşe göre yanıt verme zahmetine girilmemiş Tüketici Raporları' yorum talepleri.
Aiwit sunucuları, bilgisayar korsanlarının insanların kameralarından görüntüler bulana kadar rastgele URL'leri denemelerini önlemek için herhangi bir şey yapıyor mu? Öyleyse, Tüketici Raporları henüz görmedim.
“Hiçbir savunma mekanizması tetiklenmeden on binlerce talepte bulundum” Tüketici Raporları' gizlilik ve güvenlik mühendisi Steve Blair anlatıyor Sınır bir sözcü aracılığıyla. “Aslında, herhangi bir savunmanın mevcut olup olmadığını belirlemek için kasıtlı olarak gürültü yaptım (tek bir IP/kaynaktan, birkaç dakikada bir tekrarlanan yüzlerce istek aynı anda). Herhangi bir sınırlama görmedim.”
En azından Tüketici Raporları henüz bunun vahşi doğada istismar edildiğini öne sürmüyor.
Bu kusurları bağımsız olarak doğrulamadık ancak güvenlik açığı raporlarını okuduk. CR Eken ve Tuck isimli başka bir markayla paylaşıldı. Ve bu, bir “güvenlik” kamera şirketinin temel güvenlik uygulamalarını ihmal etmesi ve müşterileri yanıltması ilk kez olmayacak.
Anker, her zaman şifrelenen Eufy kameralarının her zaman şifrelenmediğini itiraf etti meslektaşlarım ve ben başardıktan sonra ülke genelinden şifrelenmemiş bir canlı yayına erişinEken gibi büyük ölçüde kameranın seri numarasından oluşan bir adres kullanıyordu.
Bu arada Wyze yakın zamanda izin verdi en az 13.000 müşteri kısaca bir yabancının mülküne bakın – bunu ikinci kez yapıyorum — kamera yayınlarını yanlış kullanıcılara göndererek. Ve bu şirketten sonraydı farklı bir güvenlik açığını halının altına süpürdü tam üç yıl boyunca.
Ancak Eken güvenlik açığı daha da kötü olabilir çünkü öyle görünüyor uzak sömürülmesi daha kolay ve pek çok farklı marka altında beyaz etiketli oldukları için protesto etmek veya polise başvurmak daha zor.
Tüketici Raporları Temu, endişe verici kapı zillerinden bazılarını çektikten sonra bile diğerlerini satmaya devam ettiğini ve Şubat sonu itibarıyla perakendecilere yaptığı uyarılara rağmen bulduğu ürünlerin çoğunun hala indirimde olduğunu söylüyor.
Kaynak bağlantısı