Acesso a câmeras com campainha pode ser mantido mesmo após uma alteração de senha, descobre estudante da Flórida

Um estudo recente mostrou que, quando se trata de contas online, os usuários não gostam muito de alterar suas senhas, mesmo quando há evidências de que seus dados de login podem ter sido comprometidos. Eles claramente não estão familiarizados com os perigos potenciais associados a isso, e muitos deles adotaram a mentalidade de 'isso não vai acontecer comigo'.

Se as câmeras de segurança instaladas em suas casas, no entanto, provavelmente serão muito mais cuidadosas. O impacto potencial na privacidade de uma pessoa é muito mais óbvio, e é provável que os usuários estejam mais conscientes das consequências, o que significa que eles usarão todas as ferramentas de controle de acesso que possuem para garantir que suas câmeras não sejam acessíveis a pessoas de fora. Outro trabalho de pesquisa acadêmica, no entanto, mostra que isso pode ser muito mais difícil do que parece.

Quando se trata de câmeras IoT, uma senha alterada não significa necessariamente acesso revogado

O estudo foi realizado por Blake Janes, um estudante do Instituto de Tecnologia da Flórida, e é baseado em um cenário muito plausível. Imagine um casal chamado Alice e Bob, que vivem em uma casa equipada com câmeras de segurança e campainha conectadas à Internet. Ambos têm acesso ao feed ao vivo das câmeras e podem controlá-los. Em um ponto, no entanto, os dois se separam e Bob sai. Alice quer garantir que Bob não tenha mais acesso aos dispositivos de vigilância, e é por isso que ela altera as senhas das câmeras ou usa outras ferramentas disponíveis para garantir que apenas ela possa ver o fluxo. O que Blake Janes descobriu é que, com muitas câmeras modernas, Bob poderá acessar o fluxo de vídeo mesmo após a alteração da senha.

Janes pegou 19 das câmeras conectadas à Internet mais populares do ano passado e conduziu não uma, mas duas experiências. Primeiro, ele tentou restringir o acesso às câmeras alterando as senhas, mas descobriu que apenas 3 dos 19 dispositivos bloquearam Bob imediatamente. Algumas das transmissões de vídeo permaneceram disponíveis por mais de 30 minutos após a alteração da senha, e 4 das câmeras deixaram até Bob com direitos administrativos para controlar os dispositivos.

O segundo cenário envolveu revogar completamente a conta de Bob. 13 das 19 câmeras suportam várias contas e todas elas falharam ao cortar imediatamente o acesso de Bob ao feed. Oito deles permaneceram abertos por mais de 30 minutos.

Não é uma vulnerabilidade, é uma falha de design

O mecanismo de autenticação com esses dispositivos é bastante complexo. Quando Bob faz login em sua conta, ele se conecta ao servidor de API do fabricante. A partir daí, ele recebe um token que permite acessar o fluxo da câmera hospedado em outro servidor. Quando Alice altera a senha da câmera ou revoga a conta de Bob, ela corta seu acesso ao servidor da API, o que significa que Bob não pode obter um novo token. Ele já tem um, no entanto, e em alguns casos, ele permanece válido por um bom tempo.

O principal problema está na expiração prolongada do token, embora Blake Janes aponte outros problemas, como falta de notificação quando se trata de quem está acessando os dispositivos e políticas de controle de acesso relaxadas dos próprios servidores. O experimento mostrou que as câmeras Nest do Google sofrem dos mesmos problemas, e é por isso que Janes recebeu pouco mais de US $ 3.000 como parte do programa de recompensas por bugs do gigante dos mecanismos de busca.

Quando você lê o trabalho de pesquisa, no entanto, fica com a impressão de que isso não é um bug, mas uma decisão consciente do projeto. A expiração prolongada do token diminui a pressão dos servidores e elimina a necessidade de inserir nomes de usuário e senhas o tempo todo. Segundo o artigo, os aplicativos não exibem notificações de acesso constantes para reduzir o que é conhecido como aviso de fadiga. Em outras palavras, todas essas falhas são o resultado da tentativa dos fornecedores de tornar os dispositivos mais fáceis de usar.

É mais um triunfo da usabilidade sobre a segurança. Desta vez, no entanto, trata-se de dispositivos que devem manter nossa privacidade e a nossa segurança, e é por isso que alguns fornecedores já estão trabalhando nos problemas destacados pela pesquisa de Blake Janes. Esperamos que eles encontrem soluções em breve.