En nyligt afsløret sikkerhedsfejl i babyalarmer har afsløret alvorlige sikkerhedsproblemer, der påvirker millioner af internetforbundne kameraer og smart home-enheder. Forskere opdagede, at hundredvis af kameramærker benyttede den samme sårbare cloud-infrastruktur, hvilket gjorde følsomme oplysninger tilgængelige på tværs af flere produkter.
Problemet påvirkede angiveligt babyalarmer, indendørs overvågningskameraer og overvågningssystemer til kæledyr, som blev solgt via Amazon og andre store onlineforhandlere. Sikkerhedsforskere advarede om, at sårbarhederne kan have eksponeret private snapshots, enhedsoplysninger og lokationsrelaterede data knyttet til husstande verden over.
Fundene skabte også bredere bekymringer omkring white label-produkter inden for smart home-markedet. Mange enheder, der ser ud til at komme fra forskellige virksomheder, benytter ofte de samme backend-systemer, firmwareløsninger og mobilapps.
Forskere sporede problemet til delt infrastruktur
Den franske sikkerhedsforsker Sammy Azdoufal opdagede sårbarhederne, mens han analyserede en babyalarm købt online. Undersøgelsen afslørede senere, at mere end 300 forskellige mærker angiveligt brugte infrastruktur knyttet til det kinesiske selskab Meari Technology.
Forskerne forklarede, at forbrugere normalt ikke kan se, når forskellige smart home-produkter deler identiske backend-systemer. Selvom enhederne ser forskellige ud og sælges under separate mærkenavne, bruger mange stadig de samme cloud-tjenester.
Rapporten oplyste, at omkring 1,1 millioner enheder kan være blevet påvirket af sårbarhederne. Forskerne understregede også, at problemerne ikke handlede om isolerede fejl. I stedet virkede sikkerhedsproblemerne tæt forbundet med den overordnede systemarkitektur, som platformen anvendte.
Flere kendte smartkamera-mærker benyttede angiveligt det berørte økosystem, herunder Wyze, CloudEdge, Arenti, Intelbras og Petcube.
Følsomme enhedsdata blev eksponeret
Den mest alvorlige sårbarhed involverede angiveligt MQTT-systemet, som bruges til notifikationer og kommunikation mellem enheder. Forskerne hævdede, at uautoriserede brugere potentielt kunne modtage datastrømme knyttet til andre kunders enheder.
De eksponerede oplysninger omfattede angiveligt:
- Eksterne IP-adresser
- Omtrentlige brugerplaceringer
- Bevægelsesudløste snapshots
- Enheders serienumre
- Kameraidentifikatorer
- Brugerrelateret metadata
Forskerne opdagede også utilstrækkeligt beskyttede filer lagret via Alibaba Clouds infrastruktur. Nogle lagrede billeder benyttede angiveligt svage obfuskeringsmetoder i stedet for korrekt autentificering, hvilket gjorde oplysningerne lettere at tilgå.
Sårbarhederne fik senere officielle CVE-identifikatorer og tiltrak sig opmærksomhed fra cybersikkerhedsmyndigheder.
White label-enheder fortsætter med at skabe risici
Hændelsen fremhævede et voksende problem i smart home-industrien. Mange billige kameraer og babyalarmer benytter white label-modeller, hvor én platform driver produkter, der sælges under hundredvis af forskellige mærker.
Denne struktur kan skabe store sikkerhedsproblemer, når sårbarheder påvirker den delte infrastruktur. I stedet for at ramme én enkelt producent kan én fejl sprede sig til millioner af enheder samtidig.
Cybersikkerhedsforskere har længe advaret mod usikre internetforbundne kameraer. Tidligere undersøgelser har afsløret eksponerede kamerafeeds, svage standardadgangskoder og dårligt sikrede cloud-lagringssystemer knyttet til smart home-enheder.
Sikkerhedseksperter anbefaler flere tiltag for at reducere risikoen:
- Skift standardadgangskoder med det samme
- Aktivér tofaktorgodkendelse, når det er muligt
- Installér firmwareopdateringer regelmæssigt
- Fjern enheder uden support fra netværket
- Gennemgå app-tilladelser nøje
- Adskil IoT-enheder fra hjemmets primære netværk
Nogle eksperter anbefaler også lokale overvågningssystemer til brugere, der er bekymrede for cloud-baserede sikkerhedsrisici.
Konklusion
Den nyligt opdagede sikkerhedsfejl i babyalarmer afslørede dybere svagheder i det hurtigt voksende marked for smart home-enheder. Millioner af brugere kan uvidende have stolet på produkter, der var forbundet til den samme sårbare infrastruktur, selvom enhederne blev solgt under helt forskellige mærkenavne.
Hændelsen viste også, hvordan white label-økosystemer kan forstærke cybersikkerhedsproblemer på tværs af hele IoT-industrien. Efterhånden som forbundne kameraer fortsætter med at finde vej ind i hjem verden over, forventer forskere større pres på producenter for at forbedre gennemsigtighed, styrke sikkerhedsbeskyttelsen og reducere afhængigheden af dårligt sikrede delte platforme.
0 svar til “Sikkerhedsfejl i babyalarm eksponerede millioner af smartkameraer”