Uma série de marcas de videocampainhas Eken/Aiwit permitem que qualquer pessoa possa ver as suas imagens, ou apoderarem-se do seu controlo.
Actualmente, é infelizmente cada vez mais frequente ficar pasmado com produtos e serviços que parecem não ter qualquer noção sobre os princípios básicos de segurança digital. Infelizmente, é isso que acontece com as videocampainhas fabricadas pela Eken, e que são comercializadas sob diferentes marcas como: Aiwit, Andoe, Eken, Fishbot, Gemee, Luckwolf, Rakeblue, Tuck, e outras. Como regra geral, se for uma câmara que usa a app Aiwit, é quase garantido que faz parte deste grupo.
Os problemas com estas video doorbells são tantos que até é difícil saber por onde começar. Para começar, qualquer pessoa nas imediações pode descobrir o endereço IP desse utilizador, que é exposto sem qualquer tipo de segurança, facilitando o processo de ser alvo de ataques posteriores; as câmaras também enviam imagens para servidores na cloud que estão acessíveis publicamente sem necessidade de username ou password; essas imagens ficam acessíveis para qualquer pessoa que saiba o número de série da câmara, algo que pode fazer por ataque brute-force ou, se tiver acesso físico à câmara, pressionando o botão por oito segundo e emparelhando a câmara com uma conta alternativa. O dono legítimo pode recuperar o acesso à câmara repetindo o processo, mas até lá o atacante poderá ver o que se passa, saber quem toca à campainha, e até falar com as pessoas - e mesmo depois do dono ter recuperado o acesso, o atacante, por via do número de série, continuará a ter acesso às imagens.
Sempre que se tratem de produtos com acesso via cloud, torna-se crítico saber se o serviço utilizado oferece qualquer garantia mínima de segurança. E por vezes, nem mesmo isso serve de garantia, como o recente caso da Wyze ter mostrado (novamente) imagens de câmaras erradas aos clientes, demonstrou.
Para quem tiver maiores conhecimentos técnicos ou estiver disposto a estudar sobre o assunto, talvez não seja má ideia limitar câmaras e outros smart devices à rede interna, centralizá-los em algo como o Home Assistant, e só deixar que seja o Home Assistant a poder mandar notificações para fora de casa, com o acesso a ser feito via VPN do exterior para quando se quiser ver o que se passa.
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário (problemas a comentar?)