ドアベルカメラへのアクセスはパスワード変更後も維持できる、フロリダの学生が発見
最近の調査によると、オンラインアカウントに関しては、ログインデータが侵害された可能性があるという証拠があったとしても、ユーザーはパスワードの変更にそれほど熱心ではありません。彼らは明らかにこれに関連する潜在的な危険性に特に馴染みがなく、彼らの多くは「私には起こらない」という考え方を採用しています。
ただし、自宅に設置されている防犯カメラについては、おそらくもっと注意深くなります。人のプライバシーへの潜在的な影響ははるかに明白であり、ユーザーはその結果をより意識する可能性があります。つまり、外部のユーザーがカメラにアクセスできないようにするために必要なすべてのアクセス制御ツールを使用します。ただし、 別の学術研究論文では、これは見かけよりもはるかに難しい場合があることが示されています。
IoTカメラに関しては、パスワードを変更してもアクセスが取り消されるとは限りません
この研究はフロリダ工科大学の学生であるブレイクジェーンズによって行われたもので、非常にもっともらしいシナリオに基づいています。インターネットに接続されたセキュリティとドアベルのカメラを備えた家に住んでいるアリスとボブと呼ばれるカップルを想像してみてください。どちらもカメラからのライブフィードにアクセスでき、カメラを制御できます。しかし、ある時点で2人は分かれ、ボブは退去します。アリスは、ボブが監視デバイスにアクセスできないようにしたいので、カメラのパスワードを変更するか、他の利用可能なツールを使用して、ボブだけがストリームを見ることができるようにします。ブレイク・ジェーンズが発見したことは、多くの最新のカメラで、パスワードを変更した後でもボブがビデオストリームにアクセスできることです。
ジェーンズは昨年最も人気のあるインターネット接続カメラのうち19台を撮影し、1回ではなく2回の実験を行いました。まず、パスワードを変更してカメラへのアクセスを制限しようとしましたが、19台のデバイスのうち3台だけがボブをすぐにロックアウトしていることがわかりました。一部のビデオストリームは、パスワードの変更後30分以上利用可能であり、4台のカメラはボブにデバイスを制御する管理者権限を与えました。
2番目のシナリオは、ボブのアカウントを完全に取り消すことでした。 19台のカメラのうち13台は複数のアカウントをサポートしており、すべてのユーザーがフィードへのBobのアクセスをすぐに切断できませんでした。それらの8つは30分以上開いたままでした。
脆弱性ではなく、設計上の欠陥です
これらのデバイスの認証メカニズムはかなり複雑です。ボブは自分のアカウントにログインすると、製造元のAPIサーバーに接続します。そこから、別のサーバーでホストされているカメラのストリームにアクセスできるトークンを受け取ります。アリスがカメラのパスワードを変更するか、ボブのアカウントを取り消すと、アリスはAPIサーバーへのアクセスを切断します。つまり、ボブは新しいトークンを取得できません。彼はすでにそれを持っています、そして、いくつかのケースでは、それはかなり長い間有効なままです。
主な問題はトークンの有効期限が長いことですが、Blaake Janesは、誰がデバイスにアクセスしているかに関する通知の欠如やサーバー自体の緩和されたアクセス制御ポリシーなどの他の問題を指摘しています。この実験では、GoogleのNestカメラが同じ問題を抱えていることが明らかになりました。そのため、Janesは、検索エンジン大手のバグ報奨金プログラムの一環として3,000ドル強を受け取りました。
しかし、彼の研究論文を読むと、これはバグではなく、意識的な設計上の決定であるという印象が残ります。トークンの有効期限が長いため、サーバーにいくらかのプレッシャーがかかり、ユーザー名とパスワードを常に入力する必要がなくなります。紙によると、警告疲労と呼ばれるものを減らすために、アプリは一定のアクセス通知を表示しません。言い換えれば、これらの欠陥はすべて、デバイスをよりユーザーフレンドリーにするベンダーの試みの結果です。
これは、セキュリティに対するユーザビリティのもう1つの勝利です。しかし今回は、私たちと私たちのプライバシーを安全に保つことが想定されているデバイスに関係しているため、一部のベンダーはすでにブレイクジェーンズの研究によって明らかにされた問題に取り組んでいます。彼らがすぐに解決策を見つけることを期待しています。