2024 - Las cámaras de timbre de $30 pueden ser secuestradas fácilmente, dice Consumer Reports

Agrandar / La investigación de Consumer Reports sugiere que, si este repartidor presiona y mantiene presionado el botón del timbre y luego se empareja usando la aplicación de Eken, podría ver si otros repartidores obtienen una respuesta tan superficial.

Eken

Las cámaras con videotimbre se han comercializado hasta el punto de que están disponibles por entre 30 y 40 dólares en mercados como Amazon, Walmart, Temu y Shein. Sin embargo, el verdadero costo de poseer uno podría ser mucho mayor.

Consumer Reports (CR) ha publicado los resultados de una investigación de seguridad sobre dos marcas de timbres orientadas al presupuesto, Eken y Tuck, que son en gran medida el mismo hardware producido por el Grupo Eken en China, según CR. Las cámaras se revenden con al menos 10 marcas más. Las cámaras se configuran a través de una aplicación móvil común, Aiwit. Y las cámaras comparten algo más, afirma CR: «preocupantes vulnerabilidades de seguridad».

Agrandar / El procedimiento de emparejamiento para una de las cámaras del timbre de Eken, que permite a un actor malintencionado bastante margen de maniobra.

Eken

Entre las vulnerabilidades de la cámara citadas por CR:

Envío de direcciones IP públicas y SSID (nombres) de Wi-Fi a través de Internet sin cifrado
Toma el control de las cámaras poniéndolas en modo de emparejamiento (lo que puedes hacer desde un botón frontal en algunos modelos) y conectándolas a través de la aplicación Aiwit.
Acceda a imágenes fijas de la transmisión de video y otra información conociendo el número de serie de la cámara.

CR también señaló que las cámaras Eken carecían de un código de registro de la FCC. Según CR, se vendieron más de 4200 en enero de 2024, y a menudo tenían una etiqueta de «Elección general» de Amazon (como lo hizo una modelo cuando un escritor de Ars miró el miércoles).

«Estos timbres con video de fabricantes poco conocidos tienen serias vulnerabilidades de seguridad y privacidad, y ahora han encontrado su camino en los principales mercados digitales como Amazon y Walmart», dijo Justin Brookman, director de política tecnológica de Consumer Reports, en un comunicado. «Tanto los fabricantes como las plataformas que venden los timbres tienen la responsabilidad de garantizar que estos productos no pongan en peligro a los consumidores».

CR señaló que se comunicó con los proveedores donde encontró los timbres a la venta. Temu le dijo a CR que detendría las ventas de los timbres, pero «quedaban en el sitio timbres de apariencia similar, si no idénticos», señaló CR.

Un representante de Walmart le dijo a Ars que todas las cámaras mencionadas por Consumer Reports, vendidas por terceros, ya han sido retiradas de Walmart. El representante agregó que los clientes pueden ser elegibles para reembolsos y que Walmart prohíbe la venta de dispositivos que requieren una identificación de la FCC y carecen de ella.

Ars se comunicó con Amazon para solicitar comentarios y actualizará esta publicación con nueva información. Un correo electrónico enviado a la única dirección que se podía encontrar en el sitio web de Eken no se pudo entregar. Las cuentas de redes sociales de la empresa se actualizaron por última vez al menos tres años antes.

Los investigadores de Consumer Reports afirman haber encontrado referencias de archivos JPEG transmitidas en texto sin formato a través de la red, que luego podrían verse sin autenticación en un navegador.

Informes de los consumidores

CR emitió divulgaciones de vulnerabilidad a Eken y Tuck con respecto a sus hallazgos. Las divulgaciones señalan la cantidad de datos que se envían a través de la red sin autenticación, incluidos archivos JPEG, el SSID local y la dirección IP externa. Señala que después de que un usuario malintencionado ha reparado un timbre con un código QR generado por la aplicación Aiwit, tiene control total sobre el dispositivo hasta que un usuario ve un correo electrónico de Eken y reclama el timbre.

Con algunas excepciones, los timbres con video y otras cámaras de IoT tienden a depender de conexiones en la nube para transmitir y almacenar imágenes, así como para notificar a sus propietarios sobre eventos. Esto ha generado algunas preocupaciones notables sobre privacidad y seguridad. A finales de 2019, se descubrió que Ring Doorbells enviaba credenciales de Wi-Fi en texto sin formato. Se descubrió que Eufy, una empresa que comercializaba sus ofertas «Sin nubes», estaba cargando miniaturas faciales en servidores en la nube para enviar alertas automáticas y luego se disculpó por eso. otras vulnerabilidades. El proveedor de cámaras Wyze reveló recientemente que, por segunda vez en cinco meses, las imágenes y los videos estuvieron disponibles accidentalmente para los clientes equivocados luego de una interrupción prolongada.

Imagen de listado de Amazon/Eken

Source link-49

Se rumorea una vez más que Snapdragon 8 Gen 4 es caro, un informante afirma que los fabricantes de teléfonos tendrán que pensar detenidamente en las configuraciones de sus productos

Nvidia: RTX 5090 no debería ser la primera tarjeta gráfica de la nueva generación

No tiene mandato político y, sin embargo, mueve los hilos de la política de Georgia. ¿Quién es Bidzina Ivanishvili?

Frédéric Taddeï con Alexandre Devecchio, Julie Bawin y Mikhail Rudy

Las cámaras de timbre de $30 pueden ser secuestradas fácilmente, dice Consumer Reports