Consumer Reports は、Amazon's Choice の一部のビデオベルのセキュリティが非常に悪く、見知らぬ人が外側のボタンを 8 秒間押し続けるだけで自分の携帯電話をドアベルとペアリングできることを発見しました。
悪意のある人物は、アカウントの認証情報を必要とせずに、何千マイルも離れた場所から静止画像にアクセスすることさえ可能であり、プライバシーの悪夢を生み出します…
消費者保護団体は、同じビデオドアベルがさまざまなブランド名で販売されていることを発見した。
これらはEkenとTuckという2つのブランド名で販売されていました[…] オンライン検索ですぐに、少なくとも10台以上の一見同一のビデオドアベルが、様々なブランド名で販売されていることが判明しました。これらはすべて、Ekenが所有するAiwitという同じモバイルアプリで操作されていました。私たちはFishbotとRakeblueというブランド名で販売されているこれらの製品を2台購入しましたが、同じ脆弱性を発見しました。
最初の重大な失敗は、物理的なアクセスに関してセキュリティが完全に欠如していたことです。
ビデオドアベルは、自分の居住地を知っている人々から危険にさらされている個人にとって特別な脅威となります。
ドアベルに物理的にアクセスできる人なら誰でも、デバイスを乗っ取ることができます。工具や高度なハッキングスキルは必要ありません。例えば、暴力的な元彼が、元パートナーとその子供たちの出入りを監視したいとしましょう。Aiwitのスマートフォンアプリでアカウントを作成し、ターゲットの家に行き、ドアベルのボタンを長押ししてペアリングモードにするだけで済みます。その後、ドアベルをWi-Fiホットスポットに接続し、デバイスを制御できるようになります。
デバイスの新たな「所有者」として、彼は誰がいつ出入りしたかを監視できるようになりました。
2 つ目は、資格情報を一切必要とせずに、サーバーから静止画像にアクセスできることです。
ストーカーがシリアル番号を入手すれば、ビデオフィードから静止画にリモートアクセスし続けることができる。(CRの記者はブレア氏にシリアル番号を提供し、カメラへのリモートアクセスを許可した。)パスワードは必要なく、会社のアカウントも必要ありません。また、ドアベルの所有者に通知が送られることもありません。
このシナリオでは、危険な人物は出入りするすべての人のタイムスタンプ付き写真を見続けることになります。そして、もし彼がそのシリアル番号を他の人と共有したり、オンラインに投稿したりすれば、それらの人々もその写真を監視できるようになります。
特定の個人を狙っておらず、ランダムにカメラにアクセスしたいだけなら、シリアル番号を試すだけで済みます。これでは動画の閲覧はできませんが、静止画へのアクセスは可能です。
コンシューマー・レポートは、アマゾンがこの問題を警告された後も、少なくとも2つのブランド(EkenとTuck)がAmazon's Choiceとして推奨されていると述べた。
複数のウェブサイトが過去に、Amazon's Choiceの評価は信頼できる指標とは程遠く、選定方法に関する透明性が全くないと指摘してきました。記事執筆時点では、問題となっているブランドは引き続き販売されています。
もう一度言いますが、Apple の HomeKit Secure Video をサポートするカメラを使用することをお勧めします。
写真: Eken/Amazon フェアユース | 背景: Siora Photography (Unsplash)
kapden.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
