Floridos studentai sužino, kad prieigą prie „Doorbell“ kamerų galima išlaikyti net pakeitus slaptažodį

Neseniai atliktas tyrimas parodė, kad kalbant apie internetines paskyras, vartotojai nėra linkę pakeisti savo slaptažodžių, net kai yra įrodymų, kad jų prisijungimo duomenys galėjo būti pažeisti. Jie aiškiai nėra ypač susipažinę su galimais su tuo susijusiais pavojais, ir daugelis jų laikosi mentaliteto „man taip neatsitiks“.

Tačiau jei tai rūpi jų namuose įrengtoms vaizdo kameroms, jos greičiausiai bus daug atsargesnės. Galimas poveikis asmens privatumui yra daug akivaizdesnis, o vartotojai greičiausiai labiau suvokia pasekmes, o tai reiškia, kad jie naudos visas prieigos kontrolės priemones, kurias turi, kad užtikrintų, jog jų fotoaparatai nebus prieinami pašaliniams asmenims. Tačiau kitas akademinis tyrimas rodo, kad tai gali būti daug sunkiau, nei atrodo.

IoT kameroms pakeistas slaptažodis nebūtinai reiškia atšauktą prieigą

Tyrimą atliko Blake'as Janesas, Floridos technologijos instituto studentas, ir jis pagrįstas labai tikėtinu scenarijumi. Įsivaizduokite porą, vadinamą Alisa ir Bobu, kurie gyvena name, kuriame įrengta interneto apsauga ir durų skambėjimo kameros. Abu gali naudotis tiesioginiu kanalu iš kamerų ir gali juos valdyti. Tačiau vieną akimirką abu išsiskyrė ir Bobas pasitraukė. Alisa nori užtikrinti, kad Boba nebegalėtų naudotis stebėjimo prietaisais, todėl ji keičia kamerų slaptažodžius arba naudoja kitus turimus įrankius, kad tik ji galėtų matyti srautą. Tai, ką sužinojo Blake'as Janesas, yra tai, kad su daugybe šiuolaikinių fotoaparatų Bobas galės pasiekti vaizdo įrašo srautą net pakeitus slaptažodį.

Janesas nufotografavo 19 praėjusių metų populiariausių prie interneto prijungtų kamerų ir atliko ne vieną, o du eksperimentus. Pirmiausia jis bandė apriboti prieigą prie kamerų, pakeisdamas slaptažodžius, tačiau sužinojo, kad tik 3 iš 19 prietaisų iškart užrakino Bobą. Kai kurie vaizdo įrašų srautai liko prieinami daugiau nei 30 minučių po slaptažodžio pakeitimo, o 4 kameros netgi paliko Bobui administracines teises valdyti įrenginius.

Antrasis scenarijus visiškai panaikino Bobo sąskaitą. 13 iš 19 kamerų palaiko kelias paskyras, ir joms visoms nepavyko iš karto sumažinti Bobo prieigos prie informacijos kanalo. Aštuoni iš jų liko atviri daugiau nei 30 minučių.

Tai nėra pažeidžiamumas, tai dizaino trūkumas

Šių įrenginių autentifikavimo mechanizmas yra gana sudėtingas. Kai Bobas prisijungia prie savo paskyros, jis prisijungia prie gamintojo API serverio. Iš ten jis gauna žetoną, kuris leidžia jam pasiekti kameros srautą, esantį kitame serveryje. Kai Alisa pakeičia fotoaparato slaptažodį arba atšaukia Bobo sąskaitą, ji nutraukia prieigą prie API serverio, o tai reiškia, kad Bobas negali gauti naujo žetono. Tačiau jis tokį jau turi, o kai kuriais atvejais gana ilgai galioja.

Pagrindinė problema yra ilgai trunkantis žetono galiojimo laikas, nors Blake'as Janesas atkreipia dėmesį ir į kitas problemas, tokias kaip nepranešimas apie tai, kas pasiekia įrenginius, ir sušvelninta pačių serverių prieigos kontrolės politika. Eksperimentas parodė, kad „Google Nest“ fotoaparatai kenčia nuo tų pačių problemų, todėl Janesas gavo šiek tiek daugiau nei 3 000 USD kaip paieškos sistemos milžino klaidų lažybų programos dalį.

Vis dėlto, kai perskaitysite jo tiriamąjį darbą, jums liks įspūdis, kad tai ne klaida, o sąmoningas dizaino sprendimas. Ilgas prieigos rakto galiojimas daro spaudimą serveriams ir pašalina poreikį visą laiką įvesti vartotojo vardus ir slaptažodžius. Remiantis straipsniu, programos nerodo nuolatinių prieigos pranešimų, kad sumažintų vadinamąjį įspėjamąjį nuovargį. Kitaip tariant, visi šie trūkumai yra pardavėjų bandymo padaryti prietaisus patogesnius vartotojams rezultatas.

Tai dar vienas panaudojimo triumfas prieš saugumą. Tačiau šį kartą tai susiję su įrenginiais, kurie, kaip manoma, saugo mus ir mūsų privatumą, todėl kai kurie pardavėjai jau dirba spręsdami problemas, kurias pabrėžė Blake'o Janeso tyrimai. Čia tikimasi, kad netrukus jie ras sprendimus.