¿Su timbre con video se parece en algo al de la imagen? ¿Quizás lo compraste barato en Amazon, Temu, Shein, Sears o Walmart? ¿Utiliza la aplicación Aiwit?
Informes de los consumidores esta reportando La seguridad de estas cámaras es tan increíblemente relajado, cualquiera podría caminar hasta tu casa, tomar el timbre de tu puerta y permanentemente obtenga acceso a las imágenes fijas que captura, incluso si recupera el control.
Las cámaras las vende una empresa china llamada Eken bajo al menos diez marcas diferentes, incluidas Aiwit, Andoe, Eken, Fishbot, Gemee, Luckwolf, Rakeblue y Tuck. Informes de los consumidores dice que los mercados en línea como Amazon venden miles de ellos cada mes. Algunos de ellos incluso han portado la insignia Amazon’s Choice, su dudoso sello de aprobación.
Sin embargo, Amazon ni siquiera respondió a Informes de los consumidores Los últimos hallazgos que habíamos escuchado, y mucho menos sacar las cámaras de sus estantes virtuales. Aquí tienes uno de ellos a la venta ahora mismo.. La aplicación de compras Temu, al menos, dijo CR detendría las ventas después de escuchar lo increíblemente fáciles que son de piratear.
Francamente, “hackear” puede ser una palabra demasiado fuerte
Según se informa, estas cámaras no solo exponen su dirección IP pública y su red Wi-Fi en texto sin formato a cualquiera que pueda interceptar el tráfico de su red (¡espero que no las esté revisando en una red Wi-Fi pública!), Según se informa, transmiten instantáneas de su porche en servidores web que no solicitan ningún nombre de usuario ni contraseña..
Uno Informes de los consumidores El personal de seguridad pudo acceder libremente a imágenes del rostro de un colega desde una cámara Eken en el otro lado del país, simplemente descifrando la URL correcta.
Peor aún, todo lo que un mal actor necesitaría para descubrir esas direcciones web es el número de serie de su cámara.
Peor aún, un mal actor podría obtener ese número de serie simplemente manteniendo presionado el botón del timbre durante ocho segundos y luego volviendo a emparejarlo. su cámara con su cuenta en la aplicación para teléfonos inteligentes Aiwit. Y hasta que vuelvas a tomar el control de tu propia cámara, también obtendrán vídeo y audio.
Peor aún, ese mal actor podría compartir esos números de serie con cualquier otra persona en Internet. Informes de los consumidores nos dice que una vez que el número de serie sale a la luz, un mal actor puede escribir un guión que seguirá descargando cualquier imagen nueva generada por la cámara.
Supongo que se podría decir: “Bueno, estas cámaras solo apuntan al exterior y eso no me importa”, pero Eken anuncia cámaras orientadas al interior también. (Informes de los consumidores nos dice que aún no ha probado otros modelos de Eken). Tampoco quiero que los malos actores sepan exactamente cuándo salgo de mi casa.
Podrías decir “Ah, esto no es una gran amenaza porque un mal actor necesita acceso local a la cámara”, pero eso supone que no pueden encontrar una manera de al azar encuentre números de serie que funcionen o reclute piratas de porche para sondear los vecindarios. Al menos los números de serie parecen ser aleatorios, no incrementales, Informes de los consumidores Cuéntanos.
También podría decir “¿Eken no dejará de alojar estas imágenes en URL de libre acceso?” Eso sería bueno, pero aparentemente no se molestaría en responder. Informes de los consumidores‘ solicitudes de comentarios.
¿Los servidores de Aiwit hacen algo para evitar que los piratas informáticos prueben URL al azar hasta que encuentren imágenes de las cámaras de las personas? En ese caso, Informes de los consumidores Aún no lo ha visto.
“He realizado decenas de miles de solicitudes sin que se active ningún mecanismo de defensa”. Informes de los consumidores‘, dice el ingeniero de privacidad y seguridad Steve Blair El borde a través de un portavoz. “De hecho, hice ruido deliberadamente (cientos de solicitudes a la vez, desde una única IP/fuente, repetidas cada dos minutos) para tratar de determinar si había alguna defensa presente. No vi ninguna limitación”.
Al menos Informes de los consumidores todavía no sugiere que esto haya sido explotado en la naturaleza.
No confirmamos de forma independiente estas fallas, pero leímos los informes de vulnerabilidad que CR compartido con Eken y otra marca llamada Tuck. Y no sería la primera vez que una empresa de cámaras de “seguridad” descuida las prácticas básicas de seguridad y engaña a los clientes.
Anker admitió que sus cámaras Eufy siempre encriptadas no siempre lo estaban después de que mis colegas y yo pudimos acceder a una transmisión en vivo sin encriptar desde todo el país, utilizando una dirección que, como Eken, consistía en gran medida en el número de serie de la cámara.
Mientras tanto, Wyze recientemente permitió que al menos 13.000 clientes vieran brevemente la propiedad de un extraño (la segunda vez que lo hace) enviando imágenes de cámaras a los usuarios equivocados. Y eso fue después de que la empresa ocultara otra vulnerabilidad de seguridad durante tres años completos.
Pero la vulnerabilidad de Eken podría ser incluso peor, porque suena lejos más fáciles de explotar, y porque están etiquetados en blanco bajo tantas marcas diferentes que es más difícil protestar o vigilar.
Informes de los consumidores dice que incluso después de que Temu pulsó algunos de los timbres preocupantes, siguió vendiendo otros, y que a finales de febrero, a pesar de sus advertencias a los minoristas, la mayoría de los productos que encontró todavía estaban a la venta.