谷歌因安全事件阻止小米進入其平台

Xiaomi Surveillance Cameras Security Bug

人們確實確實會時不時地對網絡安全新聞反應過度,尤其是當事件圍繞越來越多的物聯網設備之一成為我們日常生活的組成部分時,尤其如此。有時,安全研究人員會在這些小工具中發現漏洞,這些漏洞通常會成為世界末日的頭條新聞,並預測即將發生的厄運。但是,在某些情況下,由於該漏洞難以利用,在野外進行攻擊是不切實際的,因此完全沒有必要引起媒體的關注。

最近,人們一直在談論小米的廉價監控攝像頭中的一個錯誤。它已經吸引了許多來自專業和主流新聞媒體的報導。現在,我們將嘗試確定整個騷動是否合理。

視頻摘要混用會嚴重影響隱私

我們可能應該提到的第一件事是該漏洞不是由安全研究人員發現的。上週,一個Reddit用戶使用暱稱Dio-V披露了該信息,該用戶從互聯網上購買了便宜的IP監控攝像機。有問題的攝像機是小米Mijia 1080p –對於試圖以預算獲得視頻監控的任何人來說,這似乎都是完美的解決方案。除了約20美元的誘人價格外,Mijia 1080p還提供與Google Home和亞馬遜的Alexa的集成。

Google Home的所有者Dio-V渴望將新的Xiaomi相機連接到他的網絡,並查看其工作原理。他將其連接到Nest設備,並嘗試訪問視頻供稿。但是,他沒有看到一個熟悉的房間,而是看到了別人家的靜止照片。感到困惑,他刷新了提要,然後又迎來了另一個靜止的圖像,這次是另一個人的房子。

圖像上的時間戳表明Dio-V所注視的相機位於世界的不同地方。不過,它們全都是小米Mijia 1080p相機,這使Dio-V知道了錯誤所在。

在Reddit上分享了他的發現 ,並且該線程很快傳播開來。這真的並不令人驚訝。

由於該錯誤,Google暫停了小米的Home產品集成

Dio-V發現的錯誤非常嚴重。一些洩漏的圖像已損壞,但是儘管如此,該漏洞仍意味著那些毫無戒心的人的照片在他們自己的家中時被洩漏了。而且,儘管利用其他物聯網安全漏洞通常需要某種形式的“黑客攻擊”,猜測密碼或掃描互聯網以查找配置錯誤的網絡(對於小米的廉價IP攝像機而言),但該錯誤會在用戶採取這種措施後立即顯現出來。設備開箱即用。因此,谷歌沒有等待第二次邀請,它立即暫停了小米Mi Home與Google Home的所有集成,儘管事實上中國電子巨頭當時還沒有確認問題的存在。

後來,小米承認該錯誤是真實的。這是由於12月26日實施的緩存更新導致的,該更新旨在提高相機的流媒體質量。根據Android Police引用的聲明,該漏洞的影響有限。小米顯然發現只有1,044台攝像機受到了影響,其中只有網絡連接較差的那些攝像機可能最終會顯示其他人的房屋的圖像。供應商對此問題表示歉意,並向用戶保證已解決該問題。不過,目前Google是否恢復了小米Mi Home的集成尚不清楚。

在這種特殊情況下,我們可以肯定地說,此事件引起的關注是完全合理的。更糟糕的是,它可以證明世界之間的聯繫越緊密,我們將目睹的錯誤越多。小米並不是第一個發現其產品會損害人們隱私的大供應商,並且您可以肯定,它不會是最後一個。在將下一個新穎的小工具連接到家庭Wi-Fi網絡之前,您可能應該考慮一下這一點。

January 9, 2020

發表評論