Zamiast zabezpieczyć, potęguje szanse ataku. Amazon zaliczył wpadkę

Zamiast zabezpieczyć, potęguje szanse ataku. Amazon zaliczył wpadkę

Drzwi ochroni, router niekoniecznie, fot. Shutterstock.com
Drzwi ochroni, router niekoniecznie, fot. Shutterstock.com
Piotr Urbaniak
09.11.2019 08:00

Amazon Ring Video Doorbell to rodzaj domofonu, który ma wbudowaną kamerę i pozwala monitorować wejście do mieszkania z poziomu smartfonu. Brzmi jak zabezpieczenie przed intruzami, prawda? Problem w tym, że o ile fizyczny dostęp faktycznie utrudnia, o tyle na oścież otwiera sieć lokalną, alarmuje Bitdefender.

Jak możemy się dowiedzieć, zagrożenie wynika z nieprzemyślanej architektury połączenia sieciowego. Ring Video Doorbell tworzy publiczny punkt dostępu, poprzez który łączy się ze smartfonem, by następnie uzyskać połączenie do sieci globalnej za pośrednictwem domowego routera Wi-Fi. Przy czym hasło uzyskuje od smartfonu, odbierając je w formie tekstowej. Bez jakiegokolwiek zabezpieczenia przed odczytem, przez HTTP.

Hasło w pliku tekstowym

Jako że punkt dostępu, jak już zostało wspomniane, jest publiczny, przechwycenie danych przez osobę trzecią nie stanowi problemu. A to oczywiście otwiera drogę do routera i wszystkich udostępnionych w sieci lokalnej zasobów, w tym NAS-ów i reszty zawartości współdzielonej. Mówiąc wprost, napastnik może uzyskać nieautoryzowany dostęp do Wi-Fi.

fot. The Hacker News / Bitdefender
fot. The Hacker News / Bitdefender

Wprawdzie atak uda się przeprowadzić tylko wtedy, gdy Ring Video Doorbell znajduje się w trybie inicjalizacji, ale i na to zdaniem Bitdefender jest sposób. Wystarczy zasypać urządzenie pakietami deautentyfikacji, a powiadomi właściciela o konieczności ponownego skonfigurowania. I pętla się zamyka. Co gorsza, w takiej sytuacji restart może rozpocząć sam napastnik, bo wymaga to dwukrotnego kliknięcia przycisku na domofonie.

Zwlekali z wydaniem łatki

Na szczęście błąd został już załatany aktualizacją oprogramowania, aczkolwiek – jak wskazuje Bitdefender – nie obeszło się bez zgrzytów. Ponoć Amazon został poinformowany o wpadce już w czerwcu, ale raport kompletnie zlekceważył. Odpowiedział dopiero na wiadomość z lipca, w sierpniu, informując o tym, że zgłoszenie stanowi duplikat. Ostatecznie łatkę wydano 5 września.

fot. The Hacker News / Bitdefender
fot. The Hacker News / Bitdefender

Tak czy inaczej, jeśli jakimś trafem posiadasz oficjalnie niedostępny w Polsce Ring Video Doorbell, koniecznie zaktualizuj oprogramowanie. Natomiast z całej tej sytuacji płynie jeszcze jeden, bardziej uniwersalny morał: każde kolejne urządzenie smart w domu to potencjalna luka bezpieczeństwa. Nie warto otaczać się stertą gadżetów, które nie są sprzętem pierwszej potrzeby. Szczególnie w przypadku ochrony miru domowego lepiej postawić na klasyczne rozwiązania.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (53)