Студент Флоридского Технологического института Блейк Джейнс обнаружил недостатки безопасности систем камер наружного и домашнего видеонаблюдения и умных дверных звонков Ring, Nest, SimpliSafe и восьми других производителей. Речь идёт о нарушении функции, которая позволяет удалять учётную запись. Джейнс обнаружил, что эта функция не работает должным образом, поскольку она оставляет пользователю удалённой учётной записи возможность получить доступ к видео, которое записывает камера.
Результаты своих исследований Джейнс представил в работе «Бесконечная история: недостатки механизма аутентификации и контроля доступа в совместно используемых устройствах Интернета вещей». Также студент проинформировал производителей камер об уязвимостях и предложил несколько стратегий для устранения проблемы.
Проблема безопасности может проявиться, например, при расставании пары, когда один из партнёров меняет место жительства. У каждого из них при этом есть доступ к одной и той же камере через приложение. Даже если лицо А ограничит доступ лица Б к записям видеонаблюдения на своём устройстве, на устройство лица Б это никак не повлияет. Таким образом, у лица Б останется доступ к камере даже если вторая сторона ограничит этот доступ и поменяет пароль учётной записи на своём смартфоне.
Причина этого кроется в том, что разрешение на доступ предоставляется, в основном, в облаке, а не локально на камере или смартфонах. Этот подход предпочитают производители, поскольку он позволяет камерам передавать данные таким образом, чтобы не нужно было подключать каждую камеру непосредственно к каждому смартфону.
Кроме того, производители разработали свои системы таким образом, чтобы пользователям не приходилось многократно отвечать на запросы доступа, что может раздражать и приводить к тому, что пользователь в итоге просто отключает проверку безопасности, если она установлена, или вообще отказывается от камеры.
Проблема осложняется тем фактом, что потенциальному злоумышленнику не нужны передовые хакерские инструменты для атаки или слежки за другим человеком, поскольку всё можно сделать только с помощью приложения на смартфоне.
«Наш анализ выявил системный сбой в схемах аутентификации устройств и контроля доступа для общих экосистем Интернета вещей. Наше исследование показывает, что поставщикам еще предстоит пройти долгий путь для обеспечения безопасности и конфиденциальности контента, созданного IoT», — заключил автор работы.
Производители, в устройствах которых были обнаружены недостатки: Blink, Canary, D-Link, Geeni, Merkury, Momentum. Кроме того, проблема коснулась камер Nest Indoor, умного дверного звонок Nest Hello Video Doorbell, наружных камер NightOwl, умных дверных звонков Ring Pro и Standard, наружных камер и камер домашнего видеонаблюдения SimpliSafe и TP-Link.
Хотя производители будут вносить исправления в системы своих устройств, специалисты Флоридского Технологического института напоминают пользователям, что если у них есть одна из вышеупомянутых камер, важно обновить её ПО до текущей прошивки.
