(A borítókép forrása: Review Geek)
Az IP kameráktól joggal várjuk el, hogy azok a lehető legbiztonságosabbak legyenek, hiszen egy-egy sérülékenység azt is eredményezheti, hogy illetéktelenek megfigyelhetik környezetünket és akár legintimebb pillanatainkba is bepillantást nyerhenek.
Egy ilyen eszköz vásárlása alapvetően egy bizalmi kérdés, ami elsősorban arra vonatkozik, hogy a termék gyártásakor valóban szempont volt-e a biztonság, illetve, hogy a vállalat kezeli-e a minden valószínűséggel felmerülő biztonsági hibákat és erről ad-e tájékoztatást a vásárlóknak ─ jó esetben proaktívan, de legalább akkor, ha a termék kapcsán már egyértelműen ismertté válik egy biztonsági probléma.
A Review Geek öszefoglalója két tökéletes példát hoz arra, hogy az IoT eszközüket gyártó cégek milyen rossz gyakorlatokkal játszhatják el a felhasználói bizalmat.
A Wyze gyártó kamerái kapcsán néhány évvel ezelőtt biztonsági hibák váltak ismertté, amelyek akkor válnak kihasználhatóvá, ha a kamera tulajdonosa távolról szeretne hozzáférni az eszközön microSD kártyára rögzített kamerafelvételhez és ehhez port forwardolást állít be az otthoni routerén, azaz átengedi a router tűzfalán.
A gyártó ugyan végül több modell esetében adott ki hibajavítást, azonban a legelső modell (Wyze Cam v1) esetében ezt egyrészt elmulasztotta megtenni, másrészt 2022 elején ─ három évvel a biztonsági hiba nyilvánosságra kerülése után ─ közölte, hogy a termék a továbbiakban már nem támogatott, egy szóval sem említve a ki nem javított sérülékenységet. A ReviewGeek felteszi a kérdést: ezek után mennyire bízhatunk meg egy cégben, ami így kezeli a kiberbiztonságot?
December elején egy másik IP kamera gyártó, az Eufy a ReviewGeek szerint még ennél is súlyosabb hibákat vétett.
November végén Paul Moore biztonsági kutató több biztonsági problémára hívta fel a figyelmet az Eufy Doorbell Dual kamera termékével kapcsolatban.
Mint kiderült, az ajtókamera ─ ahhoz, hogy az éppen becsengető személyről pillanatfelvételt küldjön a tulajdonos telefonjára ─ ikonképek formájában személyazonosításra alkalmas arcfelvételeket tölt fel az Eufy AWS szerverére. Ott ezek az adatok nem megfelelő titkosítással kerültek tárolásra, és ha ez nem volna elég, a kamera bármiféle hitelesítési lépés nélkül élő streamre is lehetőséget adott illetéktelenek számára egy ingyenesen letölthető appon keresztül. Mindez nem vet igazán jó fényt egy olyan termékre, amelynél a gyártó kifejezetten azt állította, hogy termékei semmilyen adatot nem töltenek a felhőbe, mindent helyben, az eszközön kezelnek, ahol az adatok katonai szintű titkosítással védettek.
A cég reakciója minderre az volt, hogy változtattak a termék leírásán, kiemelve, hogy ugyan bizonyos információk valóban feltöltésre kerülnek, ám ehhez a felhasználónak módosítania kell az alapértelmezett beállításon. Az élő streamre vonatkozó sérülékenységet azonban Brett White, az Eufy-t tulajdonló Anker PR igazgatója a The Verge megkeresésére határozottan tagadta. Az Eufy azóta sem ismerte el a sérülékenységet, annak ellenére sem, hogy az online magazin ─ más biztonsági kutatókkal egyetemben ─ sikeresen reprodukálta a biztonsági hibát.
A Review Geek bizalmát mindenesetre e két gyártó elvesztette, fenti sorokat olvasva pedig minden IP kamera tulajdonos elgondolkodhat azon, hogy saját eszközének gyártója mit tesz a termék biztonságáért és ezáltal érdemes-e a bizalomra.
