谷歌因安全事件阻止小米进入其平台

Xiaomi Surveillance Cameras Security Bug

人们确实确实会时不时地对网络安全新闻反应过度,尤其是当事件围绕越来越多的物联网设备之一成为我们日常生活的组成部分时,尤其如此。有时,安全研究人员会在这些小工具中发现漏洞,这些漏洞通常会成为世界末日的头条新闻,并预测即将发生的厄运。但是,在某些情况下,由于该漏洞难以利用,在野外进行攻击是不切实际的,因此完全没有必要引起媒体的关注。

最近,人们一直在谈论小米的廉价监控摄像头中的一个错误。它已经吸引了许多来自专业和主流新闻媒体的报道。现在,我们将尝试确定整个骚动是否合理。

视频摘要混用会严重影响隐私

我们可能应该提到的第一件事是该漏洞不是由安全研究人员发现的。上周,一个Reddit用户使用昵称Dio-V披露了该信息,该用户从互联网上购买了便宜的IP监控摄像机。有问题的摄像机是小米Mijia 1080p –对于试图以预算获得视频监控的任何人来说,这似乎都是完美的解决方案。除了约20美元的诱人价格外,Mijia 1080p还提供与Google Home和亚马逊的Alexa的集成。

Google Home的所有者Dio-V渴望将新的Xiaomi相机连接到他的网络,并查看其工作原理。他将其连接到Nest设备,并尝试访问视频供稿。但是,他没有看到一个熟悉的房间,而是看到了别人家的静止照片。感到困惑,他刷新了提要,然后又迎来了另一个静止的图像,这次是另一个人的房子。

图像上的时间戳表明Dio-V所注视的相机位于世界的不同地方。不过,它们全都是小米Mijia 1080p相机,这使Dio-V知道了错误所在。

在Reddit上分享了他的发现 ,并且该线程很快传播开来。这真的并不令人惊讶。

由于该错误,Google暂停了小米的Home产品集成

Dio-V发现的错误非常严重。一些泄漏的图像已损坏,但是尽管如此,该漏洞仍意味着那些毫无戒心的人的照片在他们自己的家中时被泄漏了。而且,尽管利用其他物联网安全漏洞通常需要某种形式的“黑客攻击”,猜测密码或扫描互联网以查找配置错误的网络(对于小米的廉价IP摄像机而言),但该错误会在用户采取这种措施后立即显现出来。设备开箱即用。因此,谷歌没有等待第二次邀请,它立即暂停了小米Mi Home与Google Home的所有集成,尽管事实上这家中国电子巨头当时还没有确认问题的存在。

后来,小米承认该错误是真实的。这是由于12月26日实施的缓存更新导致的,该更新旨在提高相机的流媒体质量。根据Android Police引用的声明,该漏洞的影响有限。小米显然发现只有1,044台摄像机受到了影响,其中只有网络连接较差的那些摄像机可能最终会显示其他人的房屋的图像。供应商对此问题表示歉意,并向用户保证已解决该问题。不过,目前Google是否恢复了小米Mi Home的集成尚不清楚。

在这种特殊情况下,我们可以肯定地说,此事件引起的关注是完全合理的。更糟糕的是,它可以证明世界之间的联系越紧密,我们将目睹的错误越多。小米并不是第一个发现其产品会损害人们隐私的大供应商,并且您可以肯定,它不会是最后一个。在将下一个新颖的小工具连接到家庭Wi-Fi网络之前,您可能应该考虑一下这一点。

January 9, 2020

发表评论