Dostęp do kamer dzwonkowych może być utrzymany nawet po zmianie hasła, Florida Student odkrywa

Ostatnie badanie wykazało, że jeśli chodzi o konta internetowe, użytkownicy nie chcą zmieniać swoich haseł, nawet jeśli istnieją dowody na to, że ich dane logowania mogły zostać naruszone. Najwyraźniej nie są szczególnie zaznajomieni z potencjalnymi niebezpieczeństwami z tym związanymi, a wielu z nich przyjęło mentalność „mi się to nie przydarzy”.

Jeśli jednak chodzi o kamery bezpieczeństwa zainstalowane w ich domach, zapewne będą o wiele bardziej ostrożne. Potencjalny wpływ na prywatność osoby jest o wiele bardziej oczywisty, a użytkownicy prawdopodobnie będą bardziej świadomi konsekwencji, co oznacza, że będą korzystać ze wszystkich narzędzi kontroli dostępu, aby mieć pewność, że ich kamery nie będą dostępne dla osób postronnych. Kolejny akademicki artykuł badawczy pokazuje jednak, że może to być o wiele trudniejsze niż się wydaje.

Jeśli chodzi o kamery IoT, zmienione hasło niekoniecznie oznacza cofnięty dostęp

Badanie zostało przeprowadzone przez Blake'a Janesa, studenta z Florida Institute of Technology, i opiera się na bardzo prawdopodobnym scenariuszu. Wyobraź sobie parę o imieniu Alice i Bob, która mieszka w domu wyposażonym w zabezpieczenia internetowe i kamery dzwonkowe. Oba mają dostęp do obrazu na żywo z kamer i mogą je kontrolować. W pewnym momencie jednak dwa się rozdzielają i Bob się wyprowadza. Alice chce mieć pewność, że Bob nie będzie już mieć dostępu do urządzeń monitorujących, dlatego zmienia hasła do kamer lub używa innych dostępnych narzędzi, aby tylko ona mogła zobaczyć strumień. Blake Janes odkrył, że dzięki wielu nowoczesnym kamerom Bob będzie mógł uzyskać dostęp do strumienia wideo nawet po zmianie hasła.

Janes wziął 19 najpopularniejszych zeszłorocznych kamer podłączonych do Internetu i przeprowadził nie jeden, ale dwa eksperymenty. Najpierw próbował ograniczyć dostęp do kamer, zmieniając hasła, ale odkrył, że tylko 3 z 19 urządzeń natychmiast zablokowało Boba. Niektóre strumienie wideo pozostawały dostępne przez ponad 30 minut po zmianie hasła, a 4 kamery nawet opuściły Boba z uprawnieniami administracyjnymi do sterowania urządzeniami.

Drugi scenariusz polegał na całkowitym odwołaniu konta Boba. 13 z 19 kamer obsługuje wiele kont i wszystkie one nie od razu odcięły dostęp Boba do kanału. Osiem z nich pozostawało otwartych przez ponad 30 minut.

To nie jest luka, to wada projektowa

Mechanizm uwierzytelniania za pomocą tych urządzeń jest raczej złożony. Gdy Bob loguje się na swoje konto, łączy się z serwerem API producenta. Stamtąd otrzymuje token, który pozwala mu uzyskać dostęp do strumienia kamery hostowanej na innym serwerze. Kiedy Alice zmienia hasło kamery lub odwołuje konto Boba, odcina mu dostęp do serwera API, co oznacza, że Bob nie może uzyskać nowego tokena. Ma jednak już jeden, aw niektórych przypadkach jest ważny przez dłuższy czas.

Główny problem polega na długim wygaśnięciu tokena, chociaż Blake Janes zwraca uwagę na inne problemy, takie jak brak powiadomienia, kto ma dostęp do urządzeń i złagodzone zasady kontroli dostępu samych serwerów. Eksperyment wykazał, że kamery Nest firmy Google cierpią z powodu tych samych problemów, dlatego Janes otrzymał nieco ponad 3000 USD w ramach programu premiowania błędów giganta wyszukiwarek.

Kiedy jednak przeczytasz jego artykuł badawczy, będziesz miał wrażenie, że nie jest to błąd, ale świadoma decyzja projektowa. Długie wygaśnięcie tokena odciąża serwery i eliminuje potrzebę ciągłego wprowadzania nazw użytkowników i haseł. Według gazety aplikacje nie wyświetlają ciągłych powiadomień o dostępie, aby zmniejszyć tak zwane zmęczenie ostrzegawcze. Innymi słowy, wszystkie te wady są wynikiem prób producentów, aby urządzenia były bardziej przyjazne dla użytkownika.

To kolejny triumf użyteczności nad bezpieczeństwem. Tym razem jednak dotyczy to urządzeń, które mają zapewnić nam i naszej prywatności bezpieczeństwo, dlatego niektórzy dostawcy już pracują nad problemami wskazanymi w badaniach Blake'a Janesa. Mamy nadzieję, że wkrótce znajdą rozwiązania.