2016/06/23

Câmaras Netgear Arlo deixam qualquer pessoa ver a casa dos utilizadores?


Como se não bastassem as histórias de pesadelo de câmaras de vigilância domésticas visíveis publicamente na internet devido a má configuração, eis que temos mais um caso que nos faz duvidar da seriedade com que a questão da segurança e privacidade é tratada pelas marcas.

Um utilizador que tinha comprado e devolvido um conjunto de câmaras Arlo da Netgear foi surpreendido alguns meses mais tarde por um alerta a dizer que uma das suas câmaras tinha detectado movimento. Uma vez que já não tinha qualquer câmara foi espreitar a sua conta online, e ficou estupefacto quando descobriu que conseguia ver tudo o que se passava na casa de um novo utilizador.

Como se isto não fosse já suficientemente grave, o problema pode ser ainda pior, pois parece que para registar uma câmara numa conta basta introduzir o seu número de série, sem qualquer validação adicional - situação que permitira que um atacante simplesmente recolhesse os números de série de câmaras expostas numa loja, ou fizesse um ataque brute-force tentando registar tantas câmaras quanto fossem permitidas.


A Netgear já foi informada desta grave falha e promete uma correcção para breve, dizendo que nunca tinha contemplado a hipótese de um cliente vender ou devolver as suas câmaras. É um lapso grave, considerando o que esta lacuna possibilita (ver o que se passa na casa de outra pessoa) - mas a correcção que parecem estar a preparar, de impedir que uma câmara seja utilizada em múltiplas contas, e de fazer reset a uma câmara quando se tentar registá-la múltiplas vezes, também poderá ficar sujeita a problemas.

Por exemplo, como é que eles vão lidar com a possibilidade de um atacante fazer registos fraudulentos de câmaras que não possui, com o intuito de forçar resets às câmaras dos utilizadores legítimos? E simultaneamente, como vão lidar com a eventual necessidade dos utilizadores quererem aceder às câmaras a partir de múltiplas contas válidas?

... É o tipo de situações que se pensaria que, quem lança um produto deste tipo, deveria ter pensado de raiz... e não descobrir-se que afinal "se esqueceram dessa possibilidade"... (E será assustador pensar quantos outros sistemas e produtos que se utilizam todos os dias possam ter falhas flagrantes idênticas, que só estão à espera que alguém as revele publicamente...)

4 comentários:

  1. há imensos videos para rir no youtube sobre webcam hack

    ResponderEliminar
  2. Os amigos do alheio agradecem! LOL
    Já para não falar na inutilidade dessas câmaras!

    ResponderEliminar
  3. Não acredito em cloud dos outros.. para estes serviços de cameras e iot..
    Temos de ter o controlo dos nossos dados/privacidade.

    A unica mais valia que vejo na cloud (para pessoas) é nas soluções de backup de dados (mas sempre com encriptação).


    ResponderEliminar
  4. A verdade é que há muita gente que, por desconhecimento ou preguiça, põe-se a jeito. Por exemplo, a maioria deste tipo de camara vem com o mesmo username e password (tipicamente admin:admin ou coisa assim), e as pessoas não se dão ao trabalho de as mudar.

    ResponderEliminar