Google blokkerer Xiaomi fra sin plattform på grunn av en sikkerhetshendelse
Folk har en tendens til å overreagere på nettbaserte sikkerhetsnyheter av og til, spesielt når hendelsen dreier seg om et av stadig flere IoT-enheter som blir en integrert del av hverdagen vår. Noen ganger finner sikkerhetsforskere sårbarheter i disse dingsene, som ofte skaper apokalyptiske overskrifter og spådommer om forestående undergang. I noen tilfeller er medieoppmerksomheten imidlertid helt uberettiget fordi sårbarheten er vanskelig å utnytte, og et angrep i naturen er upraktisk.
Nylig har folk snakket om en feil i et av Xiaomis billige overvåkningskameraer. Det har tiltrukket seg ganske mange rapporter, både fra spesialiserte og mainstream nyhetssteder. Vi skal nå prøve å finne ut om hele brouhahaen er forsvarlig.
En miks av videofeeder kan få alvorlige personvernkonsekvenser
Det første vi sannsynligvis bør nevne er at feilen ikke ble oppdaget av en sikkerhetsforsker. Det ble avslørt forrige uke av en Reddit-bruker som gikk under kallenavnet Dio-V som hadde kjøpt et billig IP-overvåkningskamera fra internett. Det aktuelle kameraet var Xiaomi Mijia 1080p - en tilsynelatende perfekt løsning for alle som prøver å få videoovervåking på et budsjett. I tillegg til den attraktive prisen på rundt $ 20, tilbyr Mijia 1080p også integrasjon med Google Home og Amazons Alexa.
En Google Home-eier, Dio-V, var ivrig etter å koble det nye Xiaomi-kameraet til nettverket sitt og se hvordan det fungerer. Han koblet den til Nest-enheten sin og prøvde å få tilgang til videomaterialet. I stedet for å se et kjent rom, så han imidlertid et stillbilde av andres hjem. Forvirret frisket han opp fôret, og han ble møtt med et annet stillbilde, denne gangen av en annen persons hus.
Tidstemplene på bildene antydet at kameraene Dio-V så på var lokalisert i forskjellige deler av verden. De var imidlertid alle Xiaomi Mijia 1080p-kameraer, noe som ga Dio-V en ganske god ide om hvor feilen ligger.
Han delte funnene sine på Reddit , og tråden gikk viralt ganske raskt. Dette burde egentlig ikke være en overraskelse.
Google suspenderer Xiaomis produktintegrasjoner på hjemmet på grunn av feilen
Feilen som ble oppdaget av Dio-V var ekstremt alvorlig. Noen av de lekkede bildene var ødelagte, men til tross for dette betydde sårbarheten at bilder av intetanende mennesker ble lekket mens de var i privatlivet i sine egne hjem. Dessuten, mens utnyttelse av andre IoT sikkerhetshull ofte krever en form for "hacking", gjetting av passord eller skanning av internett etter feilkonfigurerte nettverk, i tilfelle Xiaomis billige IP-kamera, manifesterer feilen seg i det øyeblikket brukeren tar enhet ut av esken. På grunn av dette ventet Google på ingen andre invitasjoner, og den suspenderte umiddelbart alle Xiaomi Mi Home-integrasjoner med Google Home, til tross for at den kinesiske elektronikkgiganten ikke hadde bekreftet eksistensen av problemet den gangen.
Senere innrømmet Xiaomi at feilen var ekte. Det var forårsaket av en cacheoppdatering implementert 26. desember som ble designet for å forbedre kameraets strømningskvalitet. I følge en uttalelse sitert av Android Police hadde sårbarheten en begrenset innvirkning. Xiaomi fant tilsynelatende ut at bare 1 044 kameraer var berørt, og av dem kan det hende at bare de som hadde en dårlig nettverkstilkobling, endte opp med å vise bilder av andres hus. Leverandøren ba om unnskyldning for problemet og forsikret brukere om at det nå er løst. Hvorvidt Google har gjenopprettet Xiaomi Mi Home-integrasjonene, er imidlertid ukjent for nå.
I dette tilfellet kan vi trygt si at oppmerksomheten denne hendelsen vakte helt forsvarlig. Enda verre er det at det fungerer som bevis på at jo mer koblet verden blir, jo flere feil som dette vil vi være vitne til. Xiaomi er ikke den første store leverandøren som har funnet ut at produktene kan skade personvernet, og du kan være ganske sikker på at det ikke blir den siste. Dette er noe du sannsynligvis bør tenke på før du kobler den neste nyhetsinnretningen til ditt Wi-Fi-nettverk hjemme.
