Zamiast zabezpieczyć, potęguje szanse ataku. Amazon zaliczył wpadkę

Strona głównaZamiast zabezpieczyć, potęguje szanse ataku. Amazon zaliczył wpadkę
09.11.2019 08:00
Drzwi ochroni, router niekoniecznie, fot. Shutterstock.com
Drzwi ochroni, router niekoniecznie, fot. Shutterstock.com

Amazon Ring Video Doorbell to rodzaj domofonu, który ma wbudowaną kamerę i pozwala monitorować wejście do mieszkania z poziomu smartfonu. Brzmi jak zabezpieczenie przed intruzami, prawda? Problem w tym, że o ile fizyczny dostęp faktycznie utrudnia, o tyle na oścież otwiera sieć lokalną, alarmuje Bitdefender.

bEDinFhh

Jak możemy się dowiedzieć, zagrożenie wynika z nieprzemyślanej architektury połączenia sieciowego. Ring Video Doorbell tworzy publiczny punkt dostępu, poprzez który łączy się ze smartfonem, by następnie uzyskać połączenie do sieci globalnej za pośrednictwem domowego routera Wi-Fi. Przy czym hasło uzyskuje od smartfonu, odbierając je w formie tekstowej. Bez jakiegokolwiek zabezpieczenia przed odczytem, przez HTTP.

Hasło w pliku tekstowym

Jako że punkt dostępu, jak już zostało wspomniane, jest publiczny, przechwycenie danych przez osobę trzecią nie stanowi problemu. A to oczywiście otwiera drogę do routera i wszystkich udostępnionych w sieci lokalnej zasobów, w tym NAS-ów i reszty zawartości współdzielonej. Mówiąc wprost, napastnik może uzyskać nieautoryzowany dostęp do Wi-Fi.

fot. The Hacker News / Bitdefender
fot. The Hacker News / Bitdefender

Wprawdzie atak uda się przeprowadzić tylko wtedy, gdy Ring Video Doorbell znajduje się w trybie inicjalizacji, ale i na to zdaniem Bitdefender jest sposób. Wystarczy zasypać urządzenie pakietami deautentyfikacji, a powiadomi właściciela o konieczności ponownego skonfigurowania. I pętla się zamyka. Co gorsza, w takiej sytuacji restart może rozpocząć sam napastnik, bo wymaga to dwukrotnego kliknięcia przycisku na domofonie.

bEDinFhj

Zwlekali z wydaniem łatki

Na szczęście błąd został już załatany aktualizacją oprogramowania, aczkolwiek – jak wskazuje Bitdefender – nie obeszło się bez zgrzytów. Ponoć Amazon został poinformowany o wpadce już w czerwcu, ale raport kompletnie zlekceważył. Odpowiedział dopiero na wiadomość z lipca, w sierpniu, informując o tym, że zgłoszenie stanowi duplikat. Ostatecznie łatkę wydano 5 września.

fot. The Hacker News / Bitdefender
fot. The Hacker News / Bitdefender

Tak czy inaczej, jeśli jakimś trafem posiadasz oficjalnie niedostępny w Polsce Ring Video Doorbell, koniecznie zaktualizuj oprogramowanie. Natomiast z całej tej sytuacji płynie jeszcze jeden, bardziej uniwersalny morał: każde kolejne urządzenie smart w domu to potencjalna luka bezpieczeństwa. Nie warto otaczać się stertą gadżetów, które nie są sprzętem pierwszej potrzeby. Szczególnie w przypadku ochrony miru domowego lepiej postawić na klasyczne rozwiązania.

Programy

Aktualizacje
Aktualizacje
Nowości
bEDinFif