2018/05/12
Câmara Ring deixava ver vídeo mesmo após troca de password
A campainha inteligente Ring, com câmara, é uma das propostas mais simples e eficientes para quem quer ver quem está à sua porta mesmo quando está fora de casa, mas até ao início deste ano tinha também uma falha que punha em risco a privacidade dos seus clientes.
Com o sistema da Ring, que pode funcionar a bateria (com cerca de 6 meses de autonomia), modernizar a campainha da porta é um processo extremamente simples, bastando "pendurar" a câmara na parede. A partir daí, sempre que alguém tocar à campainha recebemos uma notificação no smartphone, podendo ver o vídeo em tempo real do que se passa, e falar com a pessoa. Também podemos ver quando alguém passa à porta sem tocar à campainha, usando a detecção de movimento, se assim quisermos.
O sistema é bastante atractivo e tem um preço de 99 euros que se pode considerar aceitável... mas o problema é que mais uma vez se descobrem alguns dos pontos fracos da dependência neste dispositivos inteligentes. Neste caso, descobriu-se que quem tivesse acesso à câmara, continuaria a poder ver o vídeo mesmo depois do cliente ter mudado a password.
Ou seja, no caso de casais que se separassem, ou de câmaras vendidas em segunda mão, desde que alguém estivesse previamente configurado para ter acesso à câmara; continuaria a poder ver o que se passava, mesmo se o novo dono tivesse trocado a password. Uma medida que a Ring explicava como sendo para a "conveniência" dos utilizadores... mas que obviamente se transformava num risco inaceitável de segurança. Se um utilizador muda a password, será principalmente com o propósito e expectativa de que ninguém deveria aceder à câmara sem saber essa nova password.
Esta situação já foi resolvida pela Ring (que pertence à Amazon) em Janeiro... mas até custa acreditar que tal coisa tenha sido feita por opção deliberada.
Subscrever:
Enviar feedback (Atom)
A IOT ainda está muito crua, eu apesar de tudo continuo a apostar muito nela, depois de ler aqui um vosso artigo já configurei uma VPN (Nordik) , custa-me mais umas massas ao mês ou ao ano mas acabo por me sentir menos vulnerável, mas este caso de firmware mal configurado nos dispositivos que compramos ninguém está livre e isso é um bocado assustador, afinal para além da comunidade de termos uma casa inteligente, uma parte dessa vertente diz respeito também a segurança do nosso próprio domicilio e é aqui que as coisas se complicam com noticias como esta.
ResponderEliminarLembre-se: a VPN, quando configurada no próprio dispositivo ajuda atacantes a ultrapassar a protecção que poderá ter da NAT/ Firewall... tem de ter uma firewall no próprio dispositivo para se manter em segurança! Nos computadores fixos e portáteis é fácil, mas em smartphones é bem mais complicado! Até porque até onde sei para Portugal não existe nada do género: "Tiny Hardware Firewall VPN Client".
EliminarEssa vulnerabilidade já foi corrigida! Para mim o grande defeito é nao conseguir actuar num trinco eléctrico para abrir o portão, algum modelo idêntico com essa possibilidade?
ResponderEliminarA vantagem da Ring é que eles entenderam o conceito de segurança bem, e então os seus dispositivos actualizam-se rapidamente assim que a empresa descobre uma vulnerabilidade/ ou aceita que uma "funcionalidade" não é assim tão aceitável para os seus clientes e a corrige.
ResponderEliminarMas não deixa de ser preocupante porque isto significa que eles podem, se bem entender, introduzir vulnerabilidades que na óptica deles são funcionalidades... e sendo uma empresa dos EUA podem ser OBRIGADOS a introduzir falhas de segurança intencionais ou a ceder chaves de segurança digital aos serviços do estado e serem ainda obrigados a manter o silêncio acerca de tal sob pena de irem presos. Óptimo para o estado, não tão óptimo para todas as pessoas que acham que o estado está ali para os servir como seus empregados e não para os andar a espiar os seus patrões.