Várias câmeras de campainha conectadas à internet têm falhas de segurança.
De acordo com uma pesquisa da Consumer Reports, várias câmeras de campainha conectadas à internet possuem falhas de segurança que permitem que hackers assumam o controle da câmera apenas segurando um botão, entre outros problemas.
Na quinta-feira, a organização sem fins lucrativos Consumer Reports publicou uma pesquisa detalhando quatro falhas de segurança e privacidade em câmeras fabricadas pela EKEN, uma empresa com sede em Shenzhen, China, que fabrica câmeras sob as marcas EKEN, Tuck e outras.
Essas câmeras de campainha relativamente baratas estavam disponíveis em marketplaces online como Walmart e Temu, que as retiraram de venda após a Consumer Reports entrar em contato com as empresas para sinalizar os problemas. No entanto, essas câmeras continuam disponíveis em outros lugares.
Conforme a Consumer Reports, o problema mais crítico é que, se alguém estiver próximo a uma câmera de campainha EKEN, pode assumir "controle total" dela simplesmente baixando o aplicativo oficial — chamado Aiwit — e colocando a câmera no modo de emparelhamento pressionando o botão da campainha por oito segundos. O aplicativo Aiwit possui mais de um milhão de downloads no Google Play, o que sugere que é amplamente utilizado.
Nesse ponto, o usuário malicioso pode criar sua própria conta no aplicativo e escanear o código QR gerado pelo aplicativo, colocando-o na frente da câmera da campainha. Este processo permite que o usuário malicioso adicione a campainha à sua própria conta, permitindo que ele "obtenha controle sobre um dispositivo que originalmente estava associado à conta do proprietário", conforme a Consumer Reports.
Um fator atenuante é que, uma vez finalizado o processo, o proprietário da câmera recebe um e-mail alertando-o sobre a "mudança de propriedade do dispositivo Aiwit", conforme os testes realizados pela Consumer Reports.
Os outros problemas destacados pela organização sem fins lucrativos são que as campainhas transmitem os endereços IP dos proprietários pela internet, transmitem imagens estáticas capturadas pelas câmeras, que podem ser interceptadas e visualizadas por qualquer pessoa sem a necessidade de senha, e transmitem o nome não criptografado da rede Wi-Fi local à qual a campainha se conecta pela internet.
A Consumer Reports afirma que a EKEN não respondeu aos seus e-mails relatando esses problemas. Apesar dessas falhas e da Consumer Reports alertar os marketplaces online sobre elas, as campainhas continuam disponíveis para venda na Amazon, Sears e Shein.
Porta-vozes da Amazon, Sears e Shein não se pronunciaram.
A Temu, que vendia as campainhas, disse que, após receber alertas da Consumer Reports em 5 de fevereiro, "tomou medidas imediatas, suspendendo a venda dos modelos de campainhas identificados das marcas Tuck e Eken. Iniciamos uma revisão completa desses produtos para garantir sua conformidade com os regulamentos da FCC e outros padrões relevantes."
"Após as informações adicionais recebidas em 28 de fevereiro sobre vulnerabilidades de segurança associadas a produtos que usam o aplicativo Aiwit e fabricados pela Eken Group Ltd, tomamos medidas rápidas e removemos todos os produtos relacionados de nossa plataforma", disse a porta-voz da Temu, Tori Schubert, em um e-mail.
O porta-voz do Walmart, John Forrest, disse que a gigante do varejo retirou as campainhas EKEN e Tuck de venda. Mas a Consumer Reports afirmou que ainda existem campainhas similares, provavelmente whitelabels das campainhas EKEN, disponíveis no Walmart.
Após o TechCrunch compartilhar com o Walmart cinco listagens sinalizadas pela Consumer Reports, Forrest disse que a empresa retirou três das cinco, enquanto duas já haviam sido removidas.
Esta pesquisa mostra que, mais uma vez, os consumidores não têm como saber se os dispositivos inteligentes conectados à internet possuem as medidas adequadas de privacidade e segurança. E que os marketplaces online não podem ser confiáveis para vetar o que vendem, até que alguém de fora, como a Consumer Reports neste caso, aponte que os produtos não são seguros.
Via - Tech Crunch
Comentarios