يمكن لجرس الباب بالفيديو “Amazon’s Choice” أن يسمح لأي شخص بالتجسس عليك
هل يبدو جرس باب الفيديو الخاص بك مثل الذي في الصورة؟ ربما اشتريته بسعر رخيص من Amazon أو Temu أو Shein أو Sears أو Walmart؟ هل يستخدم تطبيق Aiwit؟
تقارير المستهلكين يتم الإبلاغ عن الأمن على هذه الكاميرات متراخيًا بشكل لا يصدق، يمكن لأي شخص أن يصل إلى منزلك، ويسيطر على جرس الباب الخاص بك، و دائمًا يمكنك الوصول إلى الصور الثابتة التي تلتقطها – حتى لو استعدت السيطرة عليها.
يتم بيع الكاميرات من قبل شركة صينية تدعى Eken تحت ما لا يقل عن عشر علامات تجارية مختلفة، بما في ذلك Aiwit وAndoe وEken وFishbot وGemee وLuckwolf وRakeblue وTuck. تقارير المستهلكين يقول إن الأسواق عبر الإنترنت مثل أمازون تبيع الآلاف منها كل شهر. حتى أن بعضهم حمل شارة اختيار أمازون، وهي ختم الموافقة المشكوك فيه.
ومع ذلك فإن أمازون لم تستجب حتى لذلك تقارير المستهلكين النتائج التي سمعناها آخر مرة، ناهيك عن سحب الكاميرات من رفوفها الافتراضية. وهنا واحد منهم للبيع الآن. قال تطبيق التسوق Temu، على الأقل سجل تجاري سيوقف المبيعات بعد سماع مدى سهولة اختراقها.
بصراحة، قد تكون كلمة “اختراق” كلمة قوية جدًا
لا تقوم هذه الكاميرات فقط بكشف عنوان IP العام وشبكة Wi-Fi الخاصة بك بنص عادي لأي شخص يمكنه اعتراض حركة مرور الشبكة الخاصة بك (آمل ألا تتحقق منها على شبكة Wi-Fi عامة!) يقال إنهم يبثون لقطات من الشرفة الأمامية الخاصة بك على خوادم الويب التي لا تطلب أي اسم مستخدم أو كلمة مرور.
واحد تقارير المستهلكين تمكن موظف الأمن من الوصول بحرية إلى صور وجه زميل له من كاميرا Eken على الجانب الآخر من البلاد، فقط عن طريق معرفة عنوان URL الصحيح.
والأسوأ من ذلك، أن كل ما يحتاجه الممثل السيئ لمعرفة عناوين الويب هذه هو الرقم التسلسلي للكاميرا الخاصة بك.
والأسوأ من ذلك، أنه يمكن للممثل السيئ الحصول على هذا الرقم التسلسلي ببساطة عن طريق الضغط باستمرار على زر جرس الباب لمدة ثماني ثوانٍ، ثم إعادة الاقتران لك الكاميرا مع هُم حساب في تطبيق الهاتف الذكي Aiwit. وحتى تتمكن من التحكم في الكاميرا الخاصة بك مرة أخرى، فسوف تحصل على الفيديو والصوت أيضًا.
والأسوأ من ذلك هو أن هذا الممثل السيئ يمكنه بعد ذلك مشاركة هذه الأرقام التسلسلية مع أي شخص آخر على الإنترنت. تقارير المستهلكين يخبرنا أنه بمجرد نشر الرقم التسلسلي، يمكن للممثل السيئ كتابة نص يستمر في تنزيل أي صور جديدة تولدها الكاميرا.
أعتقد أنه يمكنك أن تقول “حسنًا، هذه الكاميرات تواجه الأماكن الخارجية فقط ولا أهتم بذلك”، لكن Eken تعلن عن الكاميرات الداخلية أيضًا. (تقارير المستهلكين تخبرنا أنها لم تختبر نماذج Eken الأخرى بعد.) كما أنني لا أريد حقًا أن يعرف الممثلون السيئون متى أغادر منزلي بالضبط.
قد تقول “آه، هذا ليس تهديدًا كبيرًا لأن الممثل السيئ يحتاج إلى الوصول المحلي إلى الكاميرا” – ولكن هذا يفترض أنهم لا يستطيعون اكتشاف طريقة لذلك بشكل عشوائي احصل على أرقام تسلسلية عاملة، أو قم بتجنيد قراصنة الشرفة لتطهير الأحياء. على الأقل تبدو الأرقام التسلسلية عشوائية وليست تزايدية، تقارير المستهلكين أخبرنا.
يمكنك أيضًا أن تقول “ألن يتوقف Eken عن استضافة هذه الصور على عناوين URL التي يمكن الوصول إليها مجانًا؟” سيكون ذلك جيدًا، لكن من الواضح أنه لا يمكن إزعاجه للرد عليه تقارير المستهلكين‘ طلبات التعليق.
هل تفعل خوادم Aiwit أي شيء على الإطلاق لمنع المتسللين من تجربة عناوين URL بشكل عشوائي حتى يعثروا على صور من كاميرات الأشخاص؟ لو ذلك، تقارير المستهلكين لم أر ذلك بعد.
“لقد قدمت عشرات الآلاف من الطلبات دون تفعيل أي آليات دفاعية” تقارير المستهلكينيقول مهندس الخصوصية والأمن ستيف بلير الحافة عبر المتحدث الرسمي. “في الواقع، كنت أزعج نفسي عمدًا (مئات الطلبات في وقت واحد، من عنوان IP/مصدر واحد، تتكرر كل دقيقتين) لمحاولة تحديد ما إذا كانت هناك أي دفاعات. لم أر أي قيود.”
على الأقل تقارير المستهلكين لا يشير بعد إلى أن هذا قد تم استغلاله في البرية.
لم نتأكد بشكل مستقل من هذه العيوب، لكننا قرأنا تقارير الضعف التي تفيد بأن سجل تجاري مشترك مع Eken وعلامة تجارية أخرى تدعى Tuck. ولن تكون هذه هي المرة الأولى التي تهمل فيها شركة كاميرات “أمنية” الممارسات الأمنية الأساسية وتضلل العملاء.
اعترف Anker بأن كاميرات Eufy المشفرة دائمًا لم تكن مشفرة دائمًا بعد أن تمكنت أنا وزملائي من الوصول إلى بث مباشر غير مشفر من جميع أنحاء البلاد، باستخدام عنوان، مثل Eken، يتكون إلى حد كبير من الرقم التسلسلي للكاميرا.
وفي الوقت نفسه، سمحت Wyze مؤخرًا لما لا يقل عن 13000 عميل بالاطلاع لفترة وجيزة على ممتلكات شخص غريب – وهي المرة الثانية التي يتم فيها القيام بذلك – عن طريق إرسال موجزات الكاميرا إلى المستخدمين الخطأ. وكان ذلك بعد أن غطت الشركة ثغرة أمنية مختلفة تحت السجادة لمدة ثلاث سنوات كاملة.
لكن ثغرة Eken قد تكون أسوأ، كما يبدو بعيد من السهل استغلالها، ولأنها تحمل علامات بيضاء تحت العديد من العلامات التجارية المختلفة، فمن الصعب الاحتجاج أو الشرطة.
تقارير المستهلكين يقول إنه حتى بعد أن قامت شركة Temu بسحب بعض أجراس الأبواب المثيرة للقلق، استمرت في بيع البعض الآخر – وأنه اعتبارًا من أواخر فبراير، على الرغم من تحذيراتها لتجار التجزئة، كانت معظم المنتجات التي عثرت عليها لا تزال معروضة للبيع.