$30 dørklokkekameraer har flere alvorlige sikkerhedsfejl, siger Consumer Reports

Videodørklokkekameraer er blevet kommoditiseret til det punkt, hvor de er tilgængelige for $30-$40 på markedspladser som Amazon, Walmart, Temu og Shein. De sande omkostninger ved at eje en kan dog være meget større.

Consumer Reports (CR) har frigivet resultaterne af en sikkerhedsundersøgelse af to budgetorienterede dørklokkemærker, Eken og Tuck, som stort set er det samme hardware produceret af Eken Group i Kina, ifølge CR. Kameraerne videresælges yderligere under mindst 10 flere mærker. Kameraerne sættes op gennem en fælles mobilapp, Aiwit . Og kameraerne deler noget andet, hævder CR: “foruroligende sikkerhedssårbarheder.”

• Sender offentlige IP-adresser og Wi-Fi SSID’er (navne) over internettet uden kryptering
• Overtagelse af kameraerne ved at sætte dem i parringstilstand (hvilket du kan gøre fra en frontvendt knap på nogle modeller) og oprette forbindelse via Aiwit-appen
• Adgang til stillbilleder fra videofeedet og anden information ved at kende kameraets serienummer.

CR bemærkede også, at Eken-kameraer manglede en FCC-registreringskode. Mere end 4.200 blev solgt i januar 2024, ifølge CR, og havde ofte en Amazon “Overall Pick”-label (som en model gjorde, da en Ars-skribent kiggede på onsdag).

“Disse videodørklokker fra mindre kendte producenter har alvorlige sikkerheds- og privatlivssårbarheder, og nu har de fundet vej til store digitale markedspladser som Amazon og Walmart,” sagde Justin Brookman, direktør for teknologipolitik hos Consumer Reports, i en erklæring. “Både producenterne og platformene, der sælger dørklokkerne, har et ansvar for at sikre, at disse produkter ikke kommer forbrugerne i fare.”

CR bemærkede, at det kontaktede leverandører, hvor det fandt dørklokkerne til salg. Temu fortalte CR, at det ville standse salget af dørklokkerne, men “lignende udseende, hvis ikke identiske dørklokker forblev på webstedet,” bemærkede CR.

En Walmart-repræsentant fortalte Ars, at alle kameraer nævnt af Consumer Reports, solgt af tredjeparter, nu er blevet fjernet fra Walmart. Repræsentanten tilføjede, at kunder kan være berettiget til refusion, og at Walmart forbyder salg af enheder, der kræver et FCC ID og mangler et.

Ars kontaktede Amazon for kommentar og vil opdatere dette indlæg med nye oplysninger. En e-mail sendt til den eneste adresse, der kunne findes på Ekens hjemmeside, blev returneret uden levering. Virksomhedens sociale mediekonti blev senest opdateret mindst tre år tidligere.

CR udsendte sårbarhedsoplysninger til Eken og Tuck vedrørende dets resultater. Afsløringerne noterer mængden af ​​data, der sendes over netværket uden godkendelse, inklusive JPEG-filer, det lokale SSID og ekstern IP-adresse. Den bemærker, at efter at en ondsindet bruger har parret en dørklokke igen med en QR-kode, der er genereret af Aiwit-appen, har de fuldstændig kontrol over enheden, indtil en bruger ser en e-mail fra Eken og genvinder dørklokken.

Med nogle få undtagelser har videodørklokker og andre IoT-kameraer en tendens til at stole på cloud-forbindelser til at streame og gemme optagelser samt underrette deres ejere om begivenheder. Dette har ført til nogle bemærkelsesværdige privatlivs- og sikkerhedsproblemer. Ringeklokker viste sig at skubbe Wi-Fi-legitimationsoplysninger i klartekst i slutningen af ​​2019. Eufy, et firma, der markedsførte sine “No clouds”-tilbud, viste sig at uploade ansigtsminiaturebilleder til cloud-servere for at sende push-alarmer og undskyldte senere for det og andre sårbarheder . Kameraudbyderen Wyze afslørede for nylig, at billeder og video-feeds for anden gang på fem måneder ved et uheld var tilgængelige for de forkerte kunder efter en langvarig afbrydelse .

Listebillede af Amazon/Eken