Zamiast zabezpieczyć, potęguje szanse ataku. Amazon zaliczył wpadkę

Strona główna Aktualności
Drzwi ochroni, router niekoniecznie, fot. Shutterstock.com
Drzwi ochroni, router niekoniecznie, fot. Shutterstock.com

O autorze

Amazon Ring Video Doorbell to rodzaj domofonu, który ma wbudowaną kamerę i pozwala monitorować wejście do mieszkania z poziomu smartfonu. Brzmi jak zabezpieczenie przed intruzami, prawda? Problem w tym, że o ile fizyczny dostęp faktycznie utrudnia, o tyle na oścież otwiera sieć lokalną, alarmuje Bitdefender.

Jak możemy się dowiedzieć, zagrożenie wynika z nieprzemyślanej architektury połączenia sieciowego. Ring Video Doorbell tworzy publiczny punkt dostępu, poprzez który łączy się ze smartfonem, by następnie uzyskać połączenie do sieci globalnej za pośrednictwem domowego routera Wi-Fi. Przy czym hasło uzyskuje od smartfonu, odbierając je w formie tekstowej. Bez jakiegokolwiek zabezpieczenia przed odczytem, przez HTTP.

Hasło w pliku tekstowym

Jako że punkt dostępu, jak już zostało wspomniane, jest publiczny, przechwycenie danych przez osobę trzecią nie stanowi problemu. A to oczywiście otwiera drogę do routera i wszystkich udostępnionych w sieci lokalnej zasobów, w tym NAS-ów i reszty zawartości współdzielonej. Mówiąc wprost, napastnik może uzyskać nieautoryzowany dostęp do Wi-Fi.

Wprawdzie atak uda się przeprowadzić tylko wtedy, gdy Ring Video Doorbell znajduje się w trybie inicjalizacji, ale i na to zdaniem Bitdefender jest sposób. Wystarczy zasypać urządzenie pakietami deautentyfikacji, a powiadomi właściciela o konieczności ponownego skonfigurowania. I pętla się zamyka. Co gorsza, w takiej sytuacji restart może rozpocząć sam napastnik, bo wymaga to dwukrotnego kliknięcia przycisku na domofonie.

Zwlekali z wydaniem łatki

Na szczęście błąd został już załatany aktualizacją oprogramowania, aczkolwiek – jak wskazuje Bitdefender – nie obeszło się bez zgrzytów. Ponoć Amazon został poinformowany o wpadce już w czerwcu, ale raport kompletnie zlekceważył. Odpowiedział dopiero na wiadomość z lipca, w sierpniu, informując o tym, że zgłoszenie stanowi duplikat. Ostatecznie łatkę wydano 5 września.

Tak czy inaczej, jeśli jakimś trafem posiadasz oficjalnie niedostępny w Polsce Ring Video Doorbell, koniecznie zaktualizuj oprogramowanie. Natomiast z całej tej sytuacji płynie jeszcze jeden, bardziej uniwersalny morał: każde kolejne urządzenie smart w domu to potencjalna luka bezpieczeństwa. Nie warto otaczać się stertą gadżetów, które nie są sprzętem pierwszej potrzeby. Szczególnie w przypadku ochrony miru domowego lepiej postawić na klasyczne rozwiązania.

© dobreprogramy