Consumer Reports a constaté que certaines sonnettes vidéo Amazon’s Choice sont si mal sécurisées qu’un parfait inconnu peut coupler son téléphone à votre sonnette simplement en maintenant le bouton extérieur enfoncé pendant huit secondes.
Les acteurs malveillants peuvent même accéder à des images fixes à des milliers de kilomètres de distance, sans avoir besoin d’informations d’identification pour votre compte, créant ainsi un cauchemar en matière de confidentialité…
L’organisation de protection des consommateurs a constaté que les mêmes sonnettes vidéo étaient vendu sous une large gamme de marques.
Elles étaient vendues sous deux marques, Eken et Tuck (…) Des recherches en ligne ont rapidement révélé qu’au moins 10 autres sonnettes vidéo apparemment identiques étaient vendues sous diverses marques, toutes contrôlées via la même application mobile, appelée Aiwit, qui appartient à Eken. Nous avons acheté deux de ces produits, vendus sous les marques Fishbot et Rakeblue, et avons trouvé les mêmes vulnérabilités.
Le premier échec flagrant a été le manque total de sécurité en matière d’accès physique.
Les sonnettes vidéo constituent une menace particulière pour les personnes qui sont menacées par des personnes sachant où elles habitent.
Toute personne pouvant accéder physiquement à l’une des sonnettes peut prendre le contrôle de l’appareil – aucun outil ni aucune compétence de piratage sophistiquée n’est nécessaire. Imaginons qu’un ex-petit ami violent veuille surveiller les allées et venues de son ancienne compagne et de ses enfants. Il lui suffirait de créer un compte sur l’application pour smartphone Aiwit, puis de se rendre au domicile de sa cible et de maintenir enfoncé le bouton de la sonnette pour la mettre en mode appairage. Il pourrait alors connecter la sonnette à un hotspot WiFi et prendre le contrôle de l’appareil.
En tant que nouveau « propriétaire » de l’appareil, il pouvait désormais surveiller qui allait et venait et quand.
La seconde est la possibilité d’accéder à des images fixes à partir d’un serveur, sans aucune information d’identification requise.
Une fois que le harceleur dispose du numéro de série, il peut continuer à accéder à distance aux images fixes du flux vidéo. (La journaliste de CR a fourni le numéro de série à Blair pour lui permettre d’accéder à distance à sa caméra.) Aucun mot de passe n’est nécessaire, ni même un compte auprès de l’entreprise, et aucune notification n’est envoyée au propriétaire de la sonnette.
Dans notre scénario, l’acteur dangereux continuera à voir des photos horodatées de tous ceux qui vont et viennent. Et s’il choisit de partager ce numéro de série avec d’autres personnes, ou même de le publier en ligne, toutes ces personnes pourront également surveiller les images.
Si quelqu’un ne cible pas une personne en particulier et souhaite simplement accéder à des caméras aléatoires, il peut simplement essayer les numéros de série. Bien que cela ne leur permette pas de visionner des vidéos, cela permet d’accéder à des images fixes.
Consumer Reports a déclaré qu’au moins deux des marques – Eken et Tuck – ont été recommandées comme Amazon’s Choice, même après qu’Amazon ait été alerté du problème.
Plusieurs sites Web avoir noté dans le passé que les notes d’Amazon’s Choice sont loin d’être un guide fiableavec zéro transparence quant à comment ils sont sélectionnés. Les marques incriminées restent en vente au moment de la rédaction.
Encore une fois, nous réitérons notre recommandation de nous en tenir aux caméras prenant en charge HomeKit Secure Video d’Apple.
Photo: Eken/Amazone sous utilisation équitable | Contexte par Photographie Siora sur Unsplash
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.