Zamiast zabezpieczyć, potęguje szanse ataku. Amazon zaliczył wpadkę
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Amazon Ring Video Doorbell to rodzaj domofonu, który ma wbudowaną kamerę i pozwala monitorować wejście do mieszkania z poziomu smartfonu. Brzmi jak zabezpieczenie przed intruzami, prawda? Problem w tym, że o ile fizyczny dostęp faktycznie utrudnia, o tyle na oścież otwiera sieć lokalną, alarmuje Bitdefender.
Jak możemy się dowiedzieć, zagrożenie wynika z nieprzemyślanej architektury połączenia sieciowego. Ring Video Doorbell tworzy publiczny punkt dostępu, poprzez który łączy się ze smartfonem, by następnie uzyskać połączenie do sieci globalnej za pośrednictwem domowego routera Wi-Fi. Przy czym hasło uzyskuje od smartfonu, odbierając je w formie tekstowej. Bez jakiegokolwiek zabezpieczenia przed odczytem, przez HTTP.
Hasło w pliku tekstowym
Jako że punkt dostępu, jak już zostało wspomniane, jest publiczny, przechwycenie danych przez osobę trzecią nie stanowi problemu. A to oczywiście otwiera drogę do routera i wszystkich udostępnionych w sieci lokalnej zasobów, w tym NAS-ów i reszty zawartości współdzielonej. Mówiąc wprost, napastnik może uzyskać nieautoryzowany dostęp do Wi-Fi.
Wprawdzie atak uda się przeprowadzić tylko wtedy, gdy Ring Video Doorbell znajduje się w trybie inicjalizacji, ale i na to zdaniem Bitdefender jest sposób. Wystarczy zasypać urządzenie pakietami deautentyfikacji, a powiadomi właściciela o konieczności ponownego skonfigurowania. I pętla się zamyka. Co gorsza, w takiej sytuacji restart może rozpocząć sam napastnik, bo wymaga to dwukrotnego kliknięcia przycisku na domofonie.
Zwlekali z wydaniem łatki
Na szczęście błąd został już załatany aktualizacją oprogramowania, aczkolwiek – jak wskazuje Bitdefender – nie obeszło się bez zgrzytów. Ponoć Amazon został poinformowany o wpadce już w czerwcu, ale raport kompletnie zlekceważył. Odpowiedział dopiero na wiadomość z lipca, w sierpniu, informując o tym, że zgłoszenie stanowi duplikat. Ostatecznie łatkę wydano 5 września.
Tak czy inaczej, jeśli jakimś trafem posiadasz oficjalnie niedostępny w Polsce Ring Video Doorbell, koniecznie zaktualizuj oprogramowanie. Natomiast z całej tej sytuacji płynie jeszcze jeden, bardziej uniwersalny morał: każde kolejne urządzenie smart w domu to potencjalna luka bezpieczeństwa. Nie warto otaczać się stertą gadżetów, które nie są sprzętem pierwszej potrzeby. Szczególnie w przypadku ochrony miru domowego lepiej postawić na klasyczne rozwiązania.
