Przejdź na

Zamiast zabezpieczyć, potęguje szanse ataku. Amazon zaliczył wpadkę

Amazon Ring Video Doorbell to rodzaj domofonu, który ma wbudowaną kamerę i pozwala monitorować wejście do mieszkania z poziomu smartfonu. Brzmi jak zabezpieczenie przed intruzami, prawda? Problem w tym, że o ile fizyczny dostęp faktycznie utrudnia, o tyle na oścież otwiera sieć lokalną, alarmuje Bitdefender.

Drzwi ochroni, router niekoniecznie, fot. Shutterstock.comDrzwi ochroni, router niekoniecznie, fot. Shutterstock.com
Piotr Urbaniak
Piotr Urbaniak

Jak możemy się dowiedzieć, zagrożenie wynika z nieprzemyślanej architektury połączenia sieciowego. Ring Video Doorbell tworzy publiczny punkt dostępu, poprzez który łączy się ze smartfonem, by następnie uzyskać połączenie do sieci globalnej za pośrednictwem domowego routera Wi-Fi. Przy czym hasło uzyskuje od smartfonu, odbierając je w formie tekstowej. Bez jakiegokolwiek zabezpieczenia przed odczytem, przez HTTP.

Hasło w pliku tekstowym

Jako że punkt dostępu, jak już zostało wspomniane, jest publiczny, przechwycenie danych przez osobę trzecią nie stanowi problemu. A to oczywiście otwiera drogę do routera i wszystkich udostępnionych w sieci lokalnej zasobów, w tym NAS-ów i reszty zawartości współdzielonej. Mówiąc wprost, napastnik może uzyskać nieautoryzowany dostęp do Wi-Fi.

fot. The Hacker News / Bitdefender
fot. The Hacker News / Bitdefender

Wprawdzie atak uda się przeprowadzić tylko wtedy, gdy Ring Video Doorbell znajduje się w trybie inicjalizacji, ale i na to zdaniem Bitdefender jest sposób. Wystarczy zasypać urządzenie pakietami deautentyfikacji, a powiadomi właściciela o konieczności ponownego skonfigurowania. I pętla się zamyka. Co gorsza, w takiej sytuacji restart może rozpocząć sam napastnik, bo wymaga to dwukrotnego kliknięcia przycisku na domofonie.

Zwlekali z wydaniem łatki

Na szczęście błąd został już załatany aktualizacją oprogramowania, aczkolwiek – jak wskazuje Bitdefender – nie obeszło się bez zgrzytów. Ponoć Amazon został poinformowany o wpadce już w czerwcu, ale raport kompletnie zlekceważył. Odpowiedział dopiero na wiadomość z lipca, w sierpniu, informując o tym, że zgłoszenie stanowi duplikat. Ostatecznie łatkę wydano 5 września.

fot. The Hacker News / Bitdefender
fot. The Hacker News / Bitdefender

Tak czy inaczej, jeśli jakimś trafem posiadasz oficjalnie niedostępny w Polsce Ring Video Doorbell, koniecznie zaktualizuj oprogramowanie. Natomiast z całej tej sytuacji płynie jeszcze jeden, bardziej uniwersalny morał: każde kolejne urządzenie smart w domu to potencjalna luka bezpieczeństwa. Nie warto otaczać się stertą gadżetów, które nie są sprzętem pierwszej potrzeby. Szczególnie w przypadku ochrony miru domowego lepiej postawić na klasyczne rozwiązania.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥