Студенты Флориды обнаруживают, что доступ к камерам дверного звонка можно сохранить даже после смены пароля

Недавнее исследование показало, что когда дело доходит до сетевых учетных записей, пользователи не очень заинтересованы в изменении своих паролей, даже когда есть доказательства того, что их данные для входа в систему могут быть скомпрометированы. Они явно не особенно знакомы с потенциальными опасностями, связанными с этим, и многие из них приняли менталитет «этого не случится со мной».

Однако, если камеры видеонаблюдения установлены в их домах, они, вероятно, будут более осторожны. Потенциальное влияние на частную жизнь человека гораздо более очевидно, и пользователи, скорее всего, будут лучше осознавать последствия, а это значит, что они будут использовать все имеющиеся у них инструменты контроля доступа, чтобы гарантировать, что их камеры недоступны для посторонних. Однако в другом научном исследовании показано, что это может быть намного сложнее, чем кажется.

Когда дело доходит до камер IoT, измененный пароль не обязательно означает аннулированный доступ

Исследование было проведено Блэйком Джейнсом, студентом Флоридского технологического института, и оно основано на очень вероятном сценарии. Представьте себе пару по имени Алиса и Боб, которые живут в доме, оборудованном подключенными к интернету камерами безопасности и дверными звонками. Оба имеют доступ к прямой трансляции с камер и могут управлять ими. В какой-то момент, однако, два раскололись, и Боб уходит. Алиса хочет убедиться, что Боб больше не имеет доступа к устройствам наблюдения, поэтому она меняет пароли камер или использует другие доступные инструменты, чтобы гарантировать, что только она может видеть поток. Блейк Джейнс узнал, что благодаря многим современным камерам Боб сможет получить доступ к видеопотоку даже после смены пароля.

Джейнс взял 19 самых популярных камер прошлого года, подключенных к Интернету, и провел не один, а два эксперимента. Сначала он попытался ограничить доступ к камерам, изменив пароли, но обнаружил, что только 3 из 19 устройств немедленно заблокировали Боба. Некоторые видеопотоки оставались доступными более 30 минут после смены пароля, и 4 камеры даже предоставили Бобу права администратора для управления устройствами.

Второй сценарий заключался в полном отзыве аккаунта Боба. 13 из 19 камер поддерживают несколько учетных записей, и все они не смогли немедленно прекратить доступ Боба к каналу. Восемь из них оставались открытыми более 30 минут.

Это не уязвимость, это недостаток дизайна

Механизм аутентификации с этими устройствами довольно сложен. Когда Боб входит в свою учетную запись, он подключается к серверу API производителя. Оттуда он получает токен, который позволяет ему получить доступ к потоку камеры, размещенному на другом сервере. Когда Алиса меняет пароль камеры или отзывает учетную запись Боба, она закрывает ему доступ к API-серверу, что означает, что Боб не может получить новый токен. Однако у него уже есть один, и в некоторых случаях он остается в силе довольно долго.

Основная проблема заключается в длительном истечении срока действия токена, хотя Блейк Джейнс указывает на другие проблемы, такие как отсутствие уведомления о том, кто получает доступ к устройствам, и смягченные политики контроля доступа самих серверов. Эксперимент показал, что камеры Google Nest страдают от тех же проблем, поэтому Джейнс получил чуть более 3000 долларов в рамках программы вознаграждения за ошибки поискового гиганта.

Однако, когда вы будете читать его исследовательскую работу, у вас будет впечатление, что это не ошибка, а сознательное дизайнерское решение. Длительный срок действия токена снимает нагрузку с серверов и устраняет необходимость постоянно вводить имена пользователей и пароли. Согласно документу, приложения не отображают уведомления о постоянном доступе, чтобы уменьшить так называемую усталость от предупреждений. Другими словами, все эти недостатки являются результатом попытки производителей сделать устройства более удобными для пользователя.

Это еще один триумф юзабилити над безопасностью. На этот раз, однако, это касается устройств, которые должны обеспечивать безопасность нас и нашей конфиденциальности, поэтому некоторые поставщики уже работают над проблемами, отмеченными в исследовании Блейка Джейнса. Здесь надеются, что они скоро найдут решение.