Google bloqueia Xiaomi da sua plataforma devido a um incidente de segurança
As pessoas tendem a exagerar nas notícias de segurança cibernética de vez em quando, especialmente quando o incidente gira em torno de um número crescente de dispositivos de IoT que estão se tornando parte integrante de nossas vidas cotidianas. Às vezes, os pesquisadores de segurança encontram vulnerabilidades nesses dispositivos, que muitas vezes criam títulos apocalípticos e previsões de destruição iminente. Em alguns casos, no entanto, a atenção da mídia é completamente injustificada, porque a vulnerabilidade é difícil de explorar e um ataque na natureza é impraticável.
Recentemente, as pessoas têm falado sobre um bug em uma das câmeras de vigilância baratas da Xiaomi. Atraiu muitos relatórios, tanto de agências de notícias especializadas quanto de grandes jornais. Vamos agora tentar descobrir se todo o brouhaha é justificável.
Um mix de feed de vídeo pode ter graves consequências para a privacidade
A primeira coisa que provavelmente devemos mencionar é que o bug não foi descoberto por um pesquisador de segurança. Foi divulgado na semana passada por um usuário do Reddit usando o apelido Dio-V, que havia comprado uma câmera de vigilância IP barata na Internet. A câmera em questão era a Xiaomi Mijia 1080p - uma solução aparentemente perfeita para quem tenta obter vigilância por vídeo dentro do orçamento. Além do preço atraente de cerca de US $ 20, o Mijia 1080p também oferece integração com o Google Home e o Alexa da Amazon.
O proprietário do Google Home, Dio-V, estava ansioso para conectar a nova câmera Xiaomi à sua rede e ver como ela funciona. Ele o conectou ao dispositivo Nest e tentou acessar o feed de vídeo. Em vez de ver uma sala familiar, no entanto, ele viu uma foto parada da casa de outra pessoa. Confuso, ele atualizou o feed e foi recebido com outra imagem parada, desta vez na casa de uma pessoa diferente.
Os registros de data e hora nas imagens sugeriam que as câmeras que Dio-V estava olhando estavam localizadas em diferentes partes do mundo. No entanto, eram todas as câmeras Xiaomi Mijia 1080p, o que deu ao Dio-V uma boa idéia de onde está o bug.
Ele compartilhou suas descobertas no Reddit , e o tópico viralizou rapidamente. Isso realmente não deveria ser uma surpresa.
Google suspende integrações de produtos domésticos da Xiaomi por causa do bug
O bug descoberto por Dio-V foi extremamente sério. Algumas das imagens vazadas foram corrompidas, mas, apesar disso, a vulnerabilidade fez com que fotos de pessoas inocentes vazassem enquanto estavam na privacidade de suas próprias casas. Além disso, embora a exploração de outras falhas de segurança da IoT geralmente exija alguma forma de "hacking", adivinhação de senhas ou varredura na Internet em busca de redes mal configuradas, no caso da câmera IP barata da Xiaomi, o bug se manifesta no momento em que o usuário leva o dispositivo. dispositivo fora da caixa. Por isso, o Google não esperou um segundo convite e suspendeu imediatamente todas as integrações do Xiaomi Mi Home com o Google Home, apesar do fato de a gigante chinesa da eletrônica não ter confirmado a existência do problema na época.
Mais tarde, a Xiaomi admitiu que o bug era real. Foi causada por uma atualização de cache implementada em 26 de dezembro, projetada para melhorar a qualidade de streaming da câmera. Segundo um comunicado citado pela Android Police , a vulnerabilidade teve um impacto limitado. Aparentemente, a Xiaomi descobriu que apenas 1.044 câmeras foram afetadas e, delas, apenas aquelas que tinham uma conexão de rede ruim podem acabar mostrando imagens das casas de outras pessoas. O fornecedor pediu desculpas pelo problema e garantiu aos usuários que ele foi resolvido. Se o Google restaurou as integrações do Xiaomi Mi Home, no entanto, permanece desconhecido por enquanto.
Nesse caso em particular, podemos dizer com segurança que a atenção que esse incidente atraiu é inteiramente justificável. Pior ainda, serve como prova de que quanto mais conectado o mundo se torna, mais erros como esse vamos testemunhar. A Xiaomi não é o primeiro grande fornecedor a descobrir que seus produtos podem comprometer a privacidade das pessoas, e você pode ter certeza de que não será o último. Isso é algo em que você provavelmente deve pensar antes de conectar o próximo gadget de novidade à sua rede Wi-Fi doméstica.
