Las cámaras de timbre de $30 tienen múltiples fallas de seguridad graves, dice Consumer Reports
Las cámaras con videotimbre se han comercializado hasta el punto de que están disponibles por entre 30 y 40 dólares en mercados como Amazon, Walmart, Temu y Shein. Sin embargo, el verdadero costo de poseer uno podría ser mucho mayor.
Consumer Reports (CR) ha publicado los resultados de una investigación de seguridad sobre dos marcas de timbres orientadas al presupuesto, Eken y Tuck, que son en gran medida el mismo hardware producido por el Grupo Eken en China, según CR. Las cámaras se revenden con al menos 10 marcas más. Las cámaras se configuran a través de una aplicación móvil común, Aiwit . Y las cámaras comparten algo más, afirma CR: “preocupantes vulnerabilidades de seguridad”.
- Envío de direcciones IP públicas y SSID (nombres) de Wi-Fi a través de Internet sin cifrado
- Toma el control de las cámaras poniéndolas en modo de emparejamiento (lo que puedes hacer desde un botón frontal en algunos modelos) y conectándolas a través de la aplicación Aiwit.
- Acceda a imágenes fijas de la transmisión de video y otra información conociendo el número de serie de la cámara.
CR también señaló que las cámaras Eken carecían de un código de registro de la FCC. Según CR, se vendieron más de 4200 en enero de 2024, y a menudo tenían una etiqueta de “Selección general” de Amazon (como lo hizo una modelo cuando un escritor de Ars miró el miércoles).
«Estos timbres con video de fabricantes poco conocidos tienen serias vulnerabilidades de seguridad y privacidad, y ahora han llegado a los principales mercados digitales como Amazon y Walmart», dijo Justin Brookman, director de política tecnológica de Consumer Reports, en un comunicado. «Tanto los fabricantes como las plataformas que venden los timbres tienen la responsabilidad de garantizar que estos productos no pongan en peligro a los consumidores».
CR señaló que se comunicó con los proveedores donde encontró los timbres a la venta. Temu le dijo a CR que detendría las ventas de los timbres, pero “quedaban en el sitio timbres de aspecto similar, si no idénticos”, señaló CR.
Un representante de Walmart le dijo a Ars que todas las cámaras mencionadas por Consumer Reports, vendidas por terceros, ya han sido retiradas de Walmart. El representante agregó que los clientes pueden ser elegibles para reembolsos y que Walmart prohíbe la venta de dispositivos que requieren una identificación de la FCC y carecen de ella.
Ars se comunicó con Amazon para solicitar comentarios y actualizará esta publicación con nueva información. Un correo electrónico enviado a la única dirección que se podía encontrar en el sitio web de Eken no se pudo entregar. Las cuentas de redes sociales de la empresa se actualizaron por última vez al menos tres años antes.
CR emitió divulgaciones de vulnerabilidad a Eken y Tuck con respecto a sus hallazgos. Las divulgaciones señalan la cantidad de datos que se envían a través de la red sin autenticación, incluidos archivos JPEG, el SSID local y la dirección IP externa. Señala que después de que un usuario malintencionado ha reparado un timbre con un código QR generado por la aplicación Aiwit, tiene control total sobre el dispositivo hasta que un usuario ve un correo electrónico de Eken y reclama el timbre.
Con algunas excepciones, los timbres con video y otras cámaras de IoT tienden a depender de conexiones en la nube para transmitir y almacenar imágenes, así como para notificar a sus propietarios sobre eventos. Esto ha generado algunas preocupaciones notables sobre privacidad y seguridad. A finales de 2019 se descubrió que Ring Doorbells enviaba credenciales de Wi-Fi en texto sin formato. Se descubrió que Eufy, una empresa que comercializaba sus ofertas «Sin nubes», cargaba miniaturas faciales en servidores en la nube para enviar alertas automáticas y luego se disculpó por ello. y otras vulnerabilidades . El proveedor de cámaras Wyze reveló recientemente que, por segunda vez en cinco meses, las imágenes y los videos estuvieron accidentalmente disponibles para los clientes equivocados luego de una interrupción prolongada .
Imagen de listado de Amazon/Eken
Deja una respuesta