Η πρόσβαση σε κάμερες κουδουνιών μπορεί να διατηρηθεί ακόμη και μετά από αλλαγή κωδικού πρόσβασης, ανακαλύπτει ο φοιτητής της Φλόριντα

Μια πρόσφατη μελέτη έδειξε ότι όταν πρόκειται για διαδικτυακούς λογαριασμούς, οι χρήστες δεν ενδιαφέρονται να αλλάξουν τους κωδικούς πρόσβασής τους, ακόμη και όταν υπάρχουν ενδείξεις ότι τα δεδομένα σύνδεσής τους ενδέχεται να έχουν παραβιαστεί. Προφανώς δεν είναι ιδιαίτερα εξοικειωμένοι με τους πιθανούς κινδύνους που σχετίζονται με αυτό, και πολλοί από αυτούς έχουν υιοθετήσει τη νοοτροπία «δεν θα συμβεί σε μένα».

Εάν πρόκειται για κάμερες ασφαλείας που είναι εγκατεστημένες στα σπίτια τους, πιθανότατα θα είναι πολύ πιο προσεκτικοί. Ο πιθανός αντίκτυπος στο απόρρητο ενός ατόμου είναι πολύ πιο προφανής και οι χρήστες είναι πιθανό να έχουν μεγαλύτερη επίγνωση των συνεπειών, πράγμα που σημαίνει ότι θα χρησιμοποιήσουν όλα τα εργαλεία ελέγχου πρόσβασης που έχουν για να διασφαλίσουν ότι οι κάμερές τους δεν θα είναι προσβάσιμες σε τρίτους. Ένα άλλο ακαδημαϊκό ερευνητικό έγγραφο, ωστόσο, δείχνει ότι αυτό θα μπορούσε να είναι πολύ πιο δύσκολο από ό, τι φαίνεται.

Όσον αφορά τις κάμερες IoT, ένας αλλαγμένος κωδικός πρόσβασης δεν σημαίνει απαραίτητα την ανάκληση της πρόσβασης

Η μελέτη πραγματοποιήθηκε από τον Blake Janes, φοιτητή στο Ινστιτούτο Τεχνολογίας της Φλόριντα και βασίζεται σε ένα πολύ εύλογο σενάριο. Φανταστείτε ένα ζευγάρι που ονομάζεται Αλίκη και Μπομπ, που ζουν σε ένα σπίτι εξοπλισμένο με σύνδεση ασφαλείας στο διαδίκτυο και κάμερες κουδουνιών. Και οι δύο έχουν πρόσβαση στη ζωντανή ροή από τις κάμερες και μπορούν να τις ελέγξουν. Σε ένα σημείο, ωστόσο, τα δύο χωρίστηκαν και ο Μπομπ βγαίνει έξω. Η Αλίκη θέλει να διασφαλίσει ότι ο Μπομπ δεν θα έχει πλέον πρόσβαση στις συσκευές παρακολούθησης, γι 'αυτό αλλάζει τους κωδικούς πρόσβασης της κάμερας ή χρησιμοποιεί άλλα διαθέσιμα εργαλεία για να διασφαλίσει ότι μόνο αυτή μπορεί να δει τη ροή. Αυτό που ανακάλυψε ο Blake Janes είναι ότι με πολλές σύγχρονες κάμερες, ο Bob θα μπορεί να έχει πρόσβαση στη ροή βίντεο ακόμα και μετά την αλλαγή του κωδικού πρόσβασης.

Ο Janes πήρε 19 από τις πιο δημοφιλείς κάμερες που ήταν συνδεδεμένες στο διαδίκτυο πέρυσι και δεν πραγματοποίησε ένα αλλά δύο πειράματα. Πρώτον, προσπάθησε να περιορίσει την πρόσβαση στις κάμερες αλλάζοντας τους κωδικούς πρόσβασης, αλλά ανακάλυψε ότι μόνο 3 από τις 19 συσκευές έκλεισαν τον Μπομπ αμέσως. Ορισμένες από τις ροές βίντεο παρέμειναν διαθέσιμες για περισσότερο από 30 λεπτά μετά την αλλαγή του κωδικού πρόσβασης και 4 από τις κάμερες άφησαν ακόμη και τον Bob με δικαιώματα διαχειριστή για τον έλεγχο των συσκευών.

Το δεύτερο σενάριο αφορούσε την πλήρη ανάκληση του λογαριασμού του Μπομπ. 13 από τις 19 κάμερες υποστηρίζουν πολλούς λογαριασμούς και όλοι απέτυχαν να κόψουν αμέσως την πρόσβαση του Bob στη ροή. Οκτώ από αυτά παρέμειναν ανοιχτά για περισσότερα από 30 λεπτά.

Δεν είναι μια ευπάθεια, είναι ένα ελάττωμα του σχεδιασμού

Ο μηχανισμός ελέγχου ταυτότητας με αυτές τις συσκευές είναι μάλλον περίπλοκος. Όταν ο Bob συνδέεται στον λογαριασμό του, συνδέεται με τον διακομιστή API του κατασκευαστή. Από εκεί, λαμβάνει ένα διακριτικό που του επιτρέπει να έχει πρόσβαση στη ροή της κάμερας που φιλοξενείται σε άλλο διακομιστή. Όταν η Αλίκη αλλάζει τον κωδικό πρόσβασης της κάμερας ή ανακαλεί τον λογαριασμό του Μπομπ, διακόπτει την πρόσβασή του στον διακομιστή API, πράγμα που σημαίνει ότι ο Μπομπ δεν μπορεί να πάρει νέο διακριτικό. Έχει ήδη ένα, ωστόσο, και σε ορισμένες περιπτώσεις, παραμένει σε ισχύ για αρκετό καιρό.

Το κύριο πρόβλημα έγκειται στη μακροχρόνια λήξη του διακριτικού, αν και ο Blake Janes επισημαίνει άλλα ζητήματα, όπως η έλλειψη ειδοποίησης όταν πρόκειται για το ποιος έχει πρόσβαση στις συσκευές και χαλαρές πολιτικές ελέγχου πρόσβασης των ίδιων των διακομιστών. Το πείραμα έδειξε ότι οι κάμερες Nest της Google πάσχουν από τα ίδια προβλήματα, γι 'αυτό η Janes έλαβε λίγο πάνω από 3.000 $ ως μέρος του προγράμματος bug bounty του γίγαντα της μηχανής αναζήτησης.

Όταν διαβάζετε το ερευνητικό του έγγραφο, ωστόσο, θα μείνετε με την εντύπωση ότι αυτό δεν είναι σφάλμα, αλλά μια συνειδητή απόφαση σχεδιασμού. Η μακροχρόνια λήξη του διακριτικού παίρνει κάποια πίεση από τους διακομιστές και εξαλείφει την ανάγκη εισαγωγής ονομάτων χρήστη και κωδικών πρόσβασης όλη την ώρα. Σύμφωνα με την εφημερίδα, οι εφαρμογές δεν εμφανίζουν ειδοποιήσεις συνεχούς πρόσβασης για να μειώσουν αυτό που είναι γνωστό ως προειδοποιητική κόπωση. Με άλλα λόγια, όλα αυτά τα ελαττώματα είναι αποτέλεσμα της προσπάθειας των πωλητών να κάνουν τις συσκευές πιο φιλικές προς τον χρήστη.

Είναι ακόμα ένας θρίαμβος χρηστικότητας έναντι της ασφάλειας. Αυτή τη φορά, ωστόσο, αφορά συσκευές που υποτίθεται ότι πρέπει να μας προστατεύουν και το απόρρητό μας, γι 'αυτό και ορισμένοι από τους προμηθευτές εργάζονται ήδη για τα προβλήματα που επισημαίνει η έρευνα του Blake Janes. Εδώ ελπίζουμε ότι θα βρουν λύσεις σύντομα.