Google blokkeert Xiaomi van zijn platform vanwege een beveiligingsincident

Mensen reageren vaak zo nu en dan op cybersecurity-nieuws, vooral wanneer het incident draait om een van een groeiend aantal IoT-apparaten die een integraal onderdeel van ons dagelijks leven worden. Soms vinden beveiligingsonderzoekers kwetsbaarheden in die gadgets, die vaak apocalyptische koppen en voorspellingen van naderend onheil veroorzaken. In sommige gevallen is de media-aandacht echter volledig ongegrond omdat de kwetsbaarheid moeilijk te exploiteren is en een aanval in het wild onpraktisch is.

Onlangs hebben mensen het gehad over een bug in een van de goedkope bewakingscamera's van Xiaomi. Het heeft nogal wat rapporten aangetrokken, zowel van gespecialiseerde als reguliere nieuwsuitzendingen. We zullen nu proberen te achterhalen of de hele brouhaha gerechtvaardigd is.

Een mix van videofeeds kan ernstige gevolgen hebben voor de privacy

Het eerste wat we waarschijnlijk moeten vermelden is dat de bug niet is ontdekt door een beveiligingsonderzoeker. Het werd vorige week onthuld door een Reddit-gebruiker met de bijnaam Dio-V die een goedkope IP-bewakingscamera op internet had gekocht. De camera in kwestie was de Xiaomi Mijia 1080p - een schijnbaar perfecte oplossing voor iedereen die met een beperkt budget videobewaking probeert te krijgen. Naast de aantrekkelijke prijs van ongeveer $ 20, biedt de Mijia 1080p ook integratie met Google Home en Amazon's Alexa.

Een Google Home-eigenaar, Dio-V, wilde de nieuwe Xiaomi-camera aansluiten op zijn netwerk en zien hoe deze werkt. Hij verbond het met zijn Nest-apparaat en probeerde toegang te krijgen tot de videofeed. In plaats van een bekende kamer te zien, zag hij echter een foto van het huis van iemand anders. Verbaasd verversde hij het voer en werd hij begroet met een ander stilstaand beeld, dit keer van het huis van een andere persoon.

De tijdstempels op de afbeeldingen suggereerden dat de camera's waar Dio-V naar keek zich in verschillende delen van de wereld bevonden. Het waren echter allemaal Xiaomi Mijia 1080p-camera's die Dio-V een redelijk goed idee gaven van waar de bug ligt.

Hij deelde zijn bevindingen over Reddit en de draad ging vrij snel viral. Dit zou geen verrassing moeten zijn.

Google schorst Xiaomi's Home-productintegraties vanwege de bug

De bug ontdekt door Dio-V was uiterst ernstig. Sommige van de gelekte afbeeldingen waren beschadigd, maar ondanks dit betekende de kwetsbaarheid dat foto's van nietsvermoedende mensen werden gelekt terwijl ze in de privacy van hun eigen huis waren. Bovendien, terwijl de exploitatie van andere IoT-beveiligingslekken vaak een vorm van 'hacken' vereist, wachtwoorden raden of het internet scannen op verkeerd geconfigureerde netwerken, manifesteert de bug zich in het geval van Xiaomi's goedkope IP-camera op het moment dat de gebruiker de apparaat uit de doos. Daarom wachtte Google op geen tweede uitnodiging en stopte het onmiddellijk alle Xiaomi Mi Home-integraties met Google Home, ondanks het feit dat de Chinese elektronicagigant destijds het bestaan van het probleem niet had bevestigd.

Later gaf Xiaomi toe dat de bug echt was. Het werd veroorzaakt door een cache-update die op 26 december werd geïmplementeerd en die was ontworpen om de streamingkwaliteit van de camera te verbeteren. Volgens een verklaring van Android Police had het beveiligingslek een beperkte impact. Xiaomi kwam er blijkbaar achter dat slechts 1.044 camera's waren getroffen, en alleen degenen die een slechte netwerkverbinding hadden, konden uiteindelijk foto's van andermans huizen laten zien. De verkoper verontschuldigde zich voor het probleem en verzekerde gebruikers dat het nu is opgelost. Of Google de integraties van Xiaomi Mi Home heeft hersteld, blijft echter voorlopig onbekend.

In dit specifieke geval kunnen we gerust zeggen dat de aandacht die dit incident trok, volledig gerechtvaardigd is. Erger nog, het dient als bewijs dat hoe meer verbonden de wereld wordt, hoe meer bugs zoals deze we zullen zien. Xiaomi is niet de eerste grote leverancier die ontdekt dat zijn producten de privacy van mensen in gevaar kunnen brengen, en u kunt er vrijwel zeker van zijn dat dit niet de laatste is. Hier moet je waarschijnlijk aan denken voordat je de volgende nieuwigheidsgadget aansluit op je wifi-thuisnetwerk.