Google блокирует Xiaomi со своей платформы из-за инцидента с безопасностью

Xiaomi Surveillance Cameras Security Bug

Люди имеют тенденцию чрезмерно реагировать на новости о кибербезопасности время от времени, особенно когда инцидент вращается вокруг одного из растущего числа устройств IoT , которые становятся неотъемлемой частью нашей повседневной жизни. Иногда исследователи безопасности обнаруживают уязвимости в этих гаджетах, которые часто создают апокалиптические заголовки и прогнозы надвигающейся гибели. Однако в некоторых случаях внимание средств массовой информации совершенно неоправданно, поскольку уязвимость трудно использовать, а атака в дикой природе нецелесообразна.

Недавно люди говорили об ошибке в одной из дешевых камер наблюдения Xiaomi. Он привлек довольно много сообщений, как из специализированных, так и из основных новостных агентств. Теперь мы попытаемся выяснить, оправдана ли вся эта затея.

Перепутывание видеопотока может иметь серьезные последствия для конфиденциальности

Первое, что мы, вероятно, должны упомянуть, - то, что ошибка не была обнаружена исследователем безопасности. Он был раскрыт на прошлой неделе пользователем Reddit под ником Dio-V, который купил дешевую IP-камеру наблюдения в Интернете. Рассматриваемая камера была Xiaomi Mijia 1080p - казалось бы, идеальное решение для любого, кто пытается получить видеонаблюдение с ограниченным бюджетом. Помимо привлекательной цены около 20 долларов, Mijia 1080p также предлагает интеграцию с Google Home и Amazon Alexa.

Владелец Google Home, Dio-V, хотел подключить новую камеру Xiaomi к своей сети и посмотреть, как она работает. Он подключил его к своему устройству Nest и попытался получить доступ к видеопотоку. Однако вместо того, чтобы увидеть знакомую комнату, он увидел неподвижное фото чужого дома. Озадаченный, он обновил подачу, и его встретили с другим неподвижным изображением, на этот раз дома другого человека.

Отметки времени на изображениях указывают на то, что камеры, на которые смотрел Dio-V, были расположены в разных частях света. Все они были камерами Xiaomi Mijia 1080p, что дало Dio-V довольно хорошее представление о том, в чем заключается ошибка.

Он поделился своими выводами о Reddit , и тема стала быстро распространяться. Это не должно быть сюрпризом.

Google приостанавливает интеграцию продукта Xiaomi для дома из-за ошибки

Ошибка, обнаруженная Dio-V, была чрезвычайно серьезной. Некоторые из просочившихся изображений были повреждены, но, несмотря на это, уязвимость означала, что фотографии не подозревающих людей просачивались, когда они находились в уединении своих собственных домов. Более того, в то время как эксплуатация других дыр в безопасности IoT часто требует некоторой формы «взлома», подбора паролей или сканирования интернета на предмет неверно настроенных сетей, в случае дешевой IP-камеры Xiaomi ошибка проявляется в тот момент, когда пользователь берет устройство из коробки. Из-за этого Google не ждал второго приглашения и немедленно приостановил все интеграции Xiaomi Mi Home с Google Home, несмотря на то, что китайский электронный гигант не подтвердил наличие проблемы в то время.

Позже Xiaomi признал, что ошибка была реальной. Это было вызвано обновлением кэша, которое было выполнено 26 декабря и предназначено для улучшения качества потоковой передачи камеры. Согласно заявлению, опубликованному Android Police , уязвимость оказала ограниченное влияние. Xiaomi, очевидно, обнаружил, что пострадали только 1044 камеры, и из них только те, у кого было плохое сетевое соединение, могли в конечном итоге показывать изображения домов других людей. Поставщик принес извинения за проблему и заверил пользователей, что она теперь решена. Тем не менее, пока неизвестно, восстановил ли Google интеграцию с Xiaomi Mi Home.

В этом конкретном случае мы можем с уверенностью сказать, что внимание, которое привлек этот инцидент, полностью оправдано. Что еще хуже, это служит доказательством того, что чем больше будет связан мир, тем больше ошибок мы увидим. Xiaomi не первый крупный поставщик, который обнаружил, что его продукты могут подорвать конфиденциальность людей, и вы можете быть уверены, что он не будет последним. Это то, о чем вы, вероятно, должны подумать, прежде чем подключить следующий гаджет новинки к своей домашней сети Wi-Fi.

January 9, 2020

Оставьте Ответ