sábado, 25 de junho de 2016
Câmaras Netgear Arlo deixam qualquer pessoa ver a casa dos utilizadores?
Como se não bastassem as histórias de pesadelo de câmaras de vigilância domésticas visíveis publicamente na internet devido a má configuração, eis que temos mais um caso que nos faz duvidar da seriedade com que a questão da segurança e privacidade é tratada pelas marcas.
Um utilizador que tinha comprado e devolvido um conjunto de câmaras Arlo da Netgear foi surpreendido alguns meses mais tarde por um alerta a dizer que uma das suas câmaras tinha detectado movimento. Uma vez que já não tinha qualquer câmara foi espreitar a sua conta online, e ficou estupefacto quando descobriu que conseguia ver tudo o que se passava na casa de um novo utilizador.
Como se isto não fosse já suficientemente grave, o problema pode ser ainda pior, pois parece que para registar uma câmara numa conta basta introduzir o seu número de série, sem qualquer validação adicional - situação que permitira que um atacante simplesmente recolhesse os números de série de câmaras expostas numa loja, ou fizesse um ataque brute-force tentando registar tantas câmaras quanto fossem permitidas.
A Netgear já foi informada desta grave falha e promete uma correcção para breve, dizendo que nunca tinha contemplado a hipótese de um cliente vender ou devolver as suas câmaras. É um lapso grave, considerando o que esta lacuna possibilita (ver o que se passa na casa de outra pessoa) - mas a correcção que parecem estar a preparar, de impedir que uma câmara seja utilizada em múltiplas contas, e de fazer reset a uma câmara quando se tentar registá-la múltiplas vezes, também poderá ficar sujeita a problemas.
Por exemplo, como é que eles vão lidar com a possibilidade de um atacante fazer registos fraudulentos de câmaras que não possui, com o intuito de forçar resets às câmaras dos utilizadores legítimos? E simultaneamente, como vão lidar com a eventual necessidade dos utilizadores quererem aceder às câmaras a partir de múltiplas contas válidas?
... É o tipo de situações que se pensaria que, quem lança um produto deste tipo, deveria ter pensado de raiz... e não descobrir-se que afinal "se esqueceram dessa possibilidade"... (E será assustador pensar quantos outros sistemas e produtos que se utilizam todos os dias possam ter falhas flagrantes idênticas, que só estão à espera que alguém as revele publicamente...)
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário