Tillgång till dörrklockkameror kan upprätthållas även efter en lösenordsbyte, upptäcker Florida Student

En ny studie visade att när det gäller onlinekonton är användare inte så angelägna om att ändra sina lösenord, även om det finns bevis för att deras inloggningsuppgifter kan ha äventyrats. De är uppenbarligen inte särskilt bekanta med de potentiella farorna som är förknippade med detta, och många av dem har antagit mentaliteten ”det kommer inte att hända med mig”.

Om säkerhetskameror som är installerade i sina hem är oroade, men de kommer förmodligen att vara mycket mer försiktiga. Den potentiella påverkan på en persons integritet är mycket mer uppenbar och användarna kommer sannolikt att vara mer medvetna om konsekvenserna, vilket innebär att de kommer att använda alla åtkomstkontrollverktyg som de har för att se till att deras kameror inte är tillgängliga för utomstående. En annan akademisk forskningsrapport visar emellertid att detta kan vara mycket svårare än det verkar.

När det gäller IoT-kameror betyder inte ett ändrat lösenord nödvändigtvis återkallad åtkomst

Studien genomfördes av Blake Janes, en student vid Florida Institute of Technology, och den är baserad på ett mycket troligt scenario. Föreställ dig ett par som heter Alice och Bob, som bor i ett hus utrustat med internet-anslutna säkerhets- och dörrklockarkameror. Båda har tillgång till live feed från kamerorna och kan kontrollera dem. Vid ett tillfälle delade emellertid de två, och Bob flyttar ut. Alice vill se till att Bob inte längre har tillgång till övervakningsenheter, varför hon ändrar kamerans lösenord eller använder andra tillgängliga verktyg för att se till att bara hon kan se strömmen. Vad Blake Janes fick reda på är att med många moderna kameror kommer Bob att kunna få tillgång till videoströmmen även efter lösenordsbyten.

Janes tog 19 av förra årets mest populära internet-anslutna kameror, och han genomförde inte ett utan två experiment. Först försökte han begränsa åtkomsten till kamerorna genom att ändra lösenord men fick reda på att endast 3 av de 19 enheterna låste Bob omedelbart. Vissa av videoströmmarna förblev tillgängliga i mer än 30 minuter efter lösenordsbyten, och 4 av kamerorna lämnade till och med Bob med administrativa rättigheter för att kontrollera enheterna.

Det andra scenariot involverade fullständigt återkallande av Bobs konto. 13 av de 19 kamerorna stöder flera konton, och de lyckades inte omedelbart minska Bobs tillgång till flödet. Åtta av dem förblev öppna i mer än 30 minuter.

Det är inte en sårbarhet, det är en designfel

Autentiseringsmekanismen för dessa enheter är ganska komplex. När Bob loggar in på sitt konto ansluter han till tillverkarens API-server. Därifrån får han ett symbol som låter honom komma åt kamerans ström som är värd på en annan server. När Alice ändrar kamerans lösenord eller återkallar Bobs konto, minskar hon hans åtkomst till API-servern, vilket innebär att Bob inte kan få ett nytt token. Han har dock redan en, och i vissa fall är den giltig ganska länge.

Huvudproblemet ligger i tokenets långa giltighetstid, även om Blake Janes påpekar andra problem som brist på anmälan när det gäller vem som får åtkomst till enheterna och avslappnade åtkomstkontrollpolicyer för själva servrarna. Experimentet visade att Googles Nest-kameror lider av samma problem, varför Janes fick drygt 3 000 $ som en del av sökmotorjättens buggountprogram.

När du läser hans forskningsuppsats kommer du emellertid att inse att detta inte är ett fel, utan ett medvetet designbeslut. Token: s långa löptid tar bort trycket från servrarna och eliminerar behovet av att ange användarnamn och lösenord hela tiden. Enligt uppsatsen visar apparna inte konstant åtkomstmeddelanden för att minska det som kallas varningströtthet. Med andra ord, alla dessa brister är resultatet av leverantörernas försök att göra enheterna mer användarvänliga.

Det är ännu en triumf för användbarhet över säkerhet. Den här gången gäller det emellertid enheter som ska hålla oss och vår integritetsskydd, varför vissa leverantörer redan arbetar med de problem som Blake Janes undersöker. Här hoppas att de snart hittar lösningar.