A Consumer Reports descobriu que algumas campainhas de vídeo Amazon’s Choice têm uma segurança tão ruim que um completo estranho pode emparelhar o telefone com a campainha simplesmente segurando o botão externo por oito segundos.
Os malfeitores podem até acessar imagens estáticas a milhares de quilômetros de distância, sem precisar de nenhuma credencial para sua conta, criando um pesadelo de privacidade…
A organização de defesa do consumidor descobriu que as mesmas campainhas de vídeo estavam vendido sob uma ampla gama de marcas.
Elas foram vendidas sob duas marcas, Eken e Tuck (…) Pesquisas on-line revelaram rapidamente pelo menos mais 10 campainhas de vídeo aparentemente idênticas sendo vendidas sob uma variedade de marcas, todas controladas pelo mesmo aplicativo móvel, chamado Aiwit, que é propriedade de Eken. Compramos dois desses produtos, vendidos sob as marcas Fishbot e Rakeblue, e encontramos as mesmas vulnerabilidades.
A primeira falha flagrante foi a total falta de segurança no que diz respeito ao acesso físico.
As campainhas de vídeo representam uma ameaça especial para indivíduos que correm perigo por parte de pessoas que sabem onde moram.
Qualquer pessoa que possa acessar fisicamente uma das campainhas pode assumir o controle do dispositivo – sem necessidade de ferramentas ou habilidades sofisticadas de hacking. Vamos imaginar que um ex-namorado abusivo queira observar as idas e vindas de sua ex-companheira e dos filhos dela. Ele simplesmente precisaria criar uma conta no aplicativo de smartphone Aiwit, ir até a casa do alvo e manter pressionado o botão da campainha para colocá-lo no modo de emparelhamento. Ele poderia então conectar a campainha a um ponto de acesso WiFi e assumir o controle do dispositivo.
Como novo “dono” do aparelho, ele agora podia observar quem entra e sai e quando.
A segunda é a capacidade de acessar imagens estáticas de um servidor, sem necessidade de credenciais.
Assim que o perseguidor tiver o número de série, ele poderá continuar a acessar remotamente imagens estáticas do feed de vídeo. (O jornalista CR forneceu o número de série a Blair para permitir que ele acessasse remotamente sua câmera.) Não é necessária nenhuma senha, nem mesmo uma conta na empresa, e nenhuma notificação é enviada ao proprietário da campainha.
Em nosso cenário, o ator perigoso continuará a ver fotos com data e hora de todos que entram e saem. E se ele decidir compartilhar esse número de série com outras pessoas, ou mesmo publicá-lo online, todas essas pessoas também poderão monitorar as imagens.
Se alguém não tem como alvo um indivíduo específico e deseja apenas acessar câmeras aleatórias, pode simplesmente tentar os números de série. Embora isso não permita a visualização do vídeo, permite o acesso a imagens estáticas.
A Consumer Reports disse que pelo menos duas das marcas – Eken e Tuck – foram recomendadas como a escolha da Amazon, mesmo depois que a Amazon foi alertada sobre o problema.
Vários sites ter notado no passado que as classificações de escolha da Amazon são longe de ser um guia confiávelcom transparência zero quanto a como eles são selecionados. As marcas ofensivas permanecem à venda no momento da escrita.
Mais uma vez, repetimos nossa recomendação de usar câmeras compatíveis com HomeKit Secure Video da Apple.
Foto: Eken/Amazon sob uso justo | Plano de fundo por Siora Fotografia sobre Remover respingo
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.