Google blockerar Xiaomi från sin plattform på grund av en säkerhetsincident

Xiaomi Surveillance Cameras Security Bug

Människor tenderar att överreagera till cybersecurity-nyheter då och då, särskilt när händelsen kretsar kring ett av allt fler IoT-enheter som blir en integrerad del av vår vardag. Ibland hittar säkerhetsforskare sårbarheter i dessa prylar, som ofta skapar apokalyptiska rubriker och förutsägelser om överhängande undergång. I vissa fall är medieuppmärksamheten emellertid helt oberättigad eftersom sårbarheten är svår att utnyttja, och en attack i naturen är opraktisk.

Nyligen har människor pratat om ett fel i en av Xiaomis billiga övervakningskameror. Det har lockat till sig en hel del rapporter, både från specialiserade och mainstream nyheter. Vi kommer nu att försöka ta reda på om hela brouhaha är motiverat.

En blandning av videoströmmar kan få allvarliga integritetseffekter

Det första vi förmodligen bör nämna är att felet inte upptäcktes av en säkerhetsforskare. Det avslöjades förra veckan av en Reddit-användare som gick under smeknamnet Dio-V som hade köpt en billig IP-övervakningskamera från internet. Kameran i fråga var Xiaomi Mijia 1080p - en till synes perfekt lösning för alla som försöker få videoövervakning på en budget. Förutom det attraktiva priset på cirka $ 20, erbjuder Mijia 1080p också integration med Google Home och Amazons Alexa.

En Google Home-ägare, Dio-V, var angelägen om att ansluta den nya Xiaomi-kameran till sitt nätverk och se hur det fungerar. Han anslöt den till sin Nest-enhet och försökte komma åt videoflödet. I stället för att se ett bekant rum såg han dock ett stillbild av någons andra hem. Förundrad uppdaterade han fodret och han hälsades med en annan stillbild, den här gången för en annan persons hus.

Tidsstämplarna på bilderna antydde att kamerorna Dio-V tittade på var belägna i olika delar av världen. De var dock alla Xiaomi Mijia 1080p-kameror, vilket gav Dio-V en ganska bra uppfattning om var felet ligger.

Han delade sina resultat om Reddit , och tråden gick viral ganska snabbt. Detta borde verkligen inte vara en överraskning.

Google avbryter Xiaomis produktintegrationer på grund av felet

Buggen som upptäcktes av Dio-V var extremt allvarlig. Vissa av de läckta bilderna skadades, men trots detta innebar sårbarheten att foton av intetanande människor läckte ut medan de var i privatliv i sina egna hem. Dessutom, medan utnyttjandet av andra IoT-säkerhetshål ofta kräver någon form av "hacking", gissa lösenord eller skanna internet efter felkonfigurerade nätverk, i fallet med Xiaomis billiga IP-kamera, visar felet sig i det ögonblick användaren tar enheten ur lådan. På grund av detta väntade Google ingen andra inbjudan, och den avbröts omedelbart alla Xiaomi Mi Home-integrationer med Google Home, trots att den kinesiska elektronikjätten inte hade bekräftat att problemet fanns vid den tiden.

Senare medgav Xiaomi att felet var riktigt. Det orsakades av en cache-uppdatering implementerad den 26 december som var utformad för att förbättra kamerans strömningskvalitet. Enligt ett uttalande från Android Police hade sårbarheten en begränsad inverkan. Xiaomi fick tydligen veta att endast 1 044 kameror påverkades, och av dem kanske endast de som hade en dålig nätverksanslutning hamnade med bilder av andras hus. Säljaren bad om ursäkt för problemet och försäkrade användare om att det nu har lösts. Huruvida Google har återställt Xiaomi Mi Home: s integration är dock okänt för tillfället.

I det här fallet kan vi säkert säga att den uppmärksamhet som denna incident inträffade är helt motiverad. Det är värre att det fungerar som ett bevis på att ju mer anslutna världen blir, desto fler buggar som denna kommer vi att bevittna. Xiaomi är inte den första stora leverantören som upptäcker att dess produkter kan äventyra människors integritet, och du kan vara ganska säker på att det inte kommer att bli det sista. Detta är något du förmodligen bör tänka på innan du ansluter nästa nyhetsgadget till ditt Wi-Fi-nätverk hemma.

January 9, 2020

Lämna ett svar