Недорогие видеодомофоны отправляют производителям пользовательские данные

Исследователи безопасности проанализировали 11 недорогих видеодомофонов, продаваемых на торговых online-площадках, таких как Amazon и eBay, и выявили множество уязвимостей в каждом устройстве. Самой опасной проблемой оказалась практика некоторых устройств отправлять названия сети Wi-Fi, пароли, информацию о местоположении, фотографии, видео, электронную почту и другие данные производителю без какой-либо очевидной причины.

Исследователи безопасности из компании NCC Group в сотрудничестве с британской организацией потребителей Which? провели анализ 11 видеодомофонов. Хотя большинство протестированных моделей были от малоизвестных брендов, некоторые из них имели высокие оценки пользователей, а один из продуктов даже был отмечен логотипом Amazon's Choice.

Два видеодомофона от Victure и Ctroncs содержали уязвимость, эксплуатация которой могла позволить злоумышленнику украсть сетевой пароль и использовать его для взлома дверного звонка и маршрутизатора, а также других устройств, подключенных к Сети.

Другой «умный» дверной звонок от Victure, который Amazon назвал лидером продаж, отправлял много конфиденциальных данных, включая имя и пароль сети Wi-Fi, в незашифрованном виде на серверы в Китае.

Одно устройство, продаваемое на Amazon и eBay, содержало уязвимую реализацию протокола WPA-2, которая позволяла злоумышленнику получить доступ ко всей домашней сети владельца видеодомофона. «Умный» видеодомофон от Qihoo 360 можно было легко взломать с помощью стандартного выталкивателя SIM-карт.

По словам экспертов, почти все дверные звонки отправляли по крайней мере некоторые данные обратно на удаленные серверы, расположенные за пределами Великобритании и Европы, но это не всегда конфиденциальные данные.

Все 11 протестированных устройств имели одну или несколько опасных уязвимостей, а также слабые, легко угадываемые встроенные пароли.