Камери дверних дзвінків за 30 доларів мають кілька серйозних недоліків безпеки, повідомляє Consumer Reports

Відеокамери дверних дзвінків настільки стали доступними для продажу за 30–40 доларів на таких ринках, як Amazon, Walmart, Temu та Shein. Однак справжня вартість володіння ним може бути набагато вищою.

Consumer Reports (CR) оприлюднив результати розслідування безпеки двох бюджетних брендів дверних дзвінків, Eken і Tuck, які, як повідомляє CR, здебільшого є однаковим обладнанням, виробленим Eken Group у Китаї. Далі камери перепродуються принаймні під ще 10 брендами. Камери налаштовуються за допомогою звичайного мобільного додатку Aiwit . Крім того, CR стверджує, що у камер є ще дещо: «тривожна вразливість системи безпеки».

• Надсилання загальнодоступних IP-адрес і SSID (імен) Wi-Fi через Інтернет без шифрування
• Заволодіння камерами шляхом переведення їх у режим сполучення (це можна зробити за допомогою кнопки на передній панелі на деяких моделях) і підключення через додаток Aiwit
• Отримайте доступ до нерухомих зображень із відео та іншої інформації, знаючи серійний номер камери.

CR також зазначив, що камери Eken не мали реєстраційного коду FCC. За даними CR, у січні 2024 року було продано понад 4200 екземплярів, які часто мали позначку Amazon «Overall Pick» (як це робила одна модель, коли автор Ars дивився в середу).

«Ці відеодверні дзвінки від маловідомих виробників мають серйозну вразливість у безпеці та конфіденційності, і тепер вони знайшли свій шлях на великі цифрові ринки, такі як Amazon і Walmart», — сказав Джастін Брукман, директор із технічної політики Consumer Reports, у заяві. «Як виробники, так і платформи, які продають дверні дзвінки, несуть відповідальність за те, щоб ці продукти не завдавали шкоди споживачам».

CR зазначив, що зв’язався з продавцями, де знайшов дверні дзвінки для продажу. Temu повідомила CR, що припинить продажі дверних дзвінків, але «схожі на вигляд, якщо не ідентичні, залишаються на сайті».

Представник Walmart повідомив Ars, що всі камери, згадані в Consumer Reports, продані третіми сторонами, вже видалені з Walmart. Представник додав, що клієнти можуть мати право на відшкодування, і що Walmart забороняє продавати пристрої, які вимагають FCC ID, але його немає.

Ars зв’язався з Amazon для коментарів і оновить цю публікацію новою інформацією. Електронний лист, надісланий на єдину адресу, яку можна було знайти на веб-сайті Eken, повернувся недоставленим. Востаннє облікові записи компанії в соціальних мережах оновлювалися щонайменше три роки тому.

CR надав Eken і Tuck повідомлення про вразливості щодо своїх висновків. У розкриттях зазначено обсяг даних, які надсилаються через мережу без автентифікації, включаючи файли JPEG, локальний SSID і зовнішню IP-адресу. У ньому зазначається, що після того, як зловмисник повторно поєднав дверний дзвінок із QR-кодом, згенерованим додатком Aiwit, він отримує повний контроль над пристроєм, поки користувач не побачить електронний лист від Eken і не поверне дверний дзвінок.

За кількома винятками, дверні відеодзвінки та інші камери Інтернету речей, як правило, покладаються на хмарні з’єднання для потокової передачі та зберігання відзнятих матеріалів, а також сповіщення своїх власників про події. Це призвело до деяких помітних проблем із конфіденційністю та безпекою. Наприкінці 2019 року виявилося, що дверні дзвінки Ring надсилають облікові дані Wi-Fi у вигляді відкритого тексту. Eufy, компанія, яка рекламувала свої пропозиції «No clouds», виявилася, що завантажувала мініатюри облич на хмарні сервери для надсилання push-сповіщень, а пізніше вибачилася за це. та інші вразливості . Постачальник камер Wyze нещодавно повідомив, що вдруге за п’ять місяців зображення та відео були випадково доступні не тим клієнтам після тривалого збою .

Зображення списку від Amazon/Eken