Студент Флоридского Технологического института Блейк Джейнс обнаружил недостатки безопасности систем камер наружного и домашнего видеонаблюдения и умных дверных звонков Ring, Nest, SimpliSafe и восьми других производителей. Речь идёт о нарушении функции, которая позволяет удалять учётную запись. Джейнс обнаружил, что эта функция не работает должным образом, поскольку она оставляет пользователю удалённой учётной записи возможность получить доступ к видео, которое записывает камера.

Результаты своих исследований Джейнс представил в работе «Бесконечная история: недостатки механизма аутентификации и контроля доступа в совместно используемых устройствах Интернета вещей». Также студент проинформировал производителей камер об уязвимостях и предложил несколько стратегий для устранения проблемы.

Проблема безопасности может проявиться, например, при расставании пары, когда один из партнёров меняет место жительства. У каждого из них при этом есть доступ к одной и той же камере через приложение. Даже если лицо А ограничит доступ лица Б к записям видеонаблюдения на своём устройстве, на устройство лица Б это никак не повлияет. Таким образом, у лица Б останется доступ к камере даже если вторая сторона ограничит этот доступ и поменяет пароль учётной записи на своём смартфоне.

Причина этого кроется в том, что разрешение на доступ предоставляется, в основном, в облаке, а не локально на камере или смартфонах. Этот подход предпочитают производители, поскольку он позволяет камерам передавать данные таким образом, чтобы не нужно было подключать каждую камеру непосредственно к каждому смартфону.

Кроме того, производители разработали свои системы таким образом, чтобы пользователям не приходилось многократно отвечать на запросы доступа, что может раздражать и приводить к тому, что пользователь в итоге просто отключает проверку безопасности, если она установлена, ​​или вообще отказывается от камеры.

Проблема осложняется тем фактом, что потенциальному злоумышленнику не нужны передовые хакерские инструменты для атаки или слежки за другим человеком, поскольку всё можно сделать только с помощью приложения на смартфоне.

«Наш анализ выявил системный сбой в схемах аутентификации устройств и контроля доступа для общих экосистем Интернета вещей. Наше исследование показывает, что поставщикам еще предстоит пройти долгий путь для обеспечения безопасности и конфиденциальности контента, созданного IoT», — заключил автор работы.

Производители, в устройствах которых были обнаружены недостатки: Blink, Canary, D-Link, Geeni, Merkury, Momentum. Кроме того, проблема коснулась камер Nest Indoor, умного дверного звонок Nest Hello Video Doorbell, наружных камер NightOwl, умных дверных звонков Ring Pro и Standard, наружных камер и камер домашнего видеонаблюдения SimpliSafe и TP-Link.

Хотя производители будут вносить исправления в системы своих устройств, специалисты Флоридского Технологического института напоминают пользователям, что если у них есть одна из вышеупомянутых камер, важно обновить её ПО до текущей прошивки.