תקלה מביכה נמצאה במצלמות האבטחה של גוגל

תקלה מביכה נמצאה במצלמות האבטחה של גוגל

security camera

This post is also available in: enEnglish (אנגלית)

פרצות אבטחה התגלו במוצר אבטחה פופולרי. חוקר אבטחה פרסם לאחרונה פרצה ונקודות תורפה בהוכחת ההיתכנות של מצלמות האבטחה של האינטרנט של הדברים (IoT) מתוצרת גוגל. המצלמות, אשר נקראות “Nest Dropcam”, כוללות מספר גרסאות – Pro, Outdoor וה-Indoor. הפרטים על נקודות התורפה הועברו לחברה כבר בסתיו שעבר אך בגוגל לא טיפלו בתקלות הללו, למרות הסכנה והעובדה שעברו חודשים רבים מאז שנודע להם על התקלה.

החוקר, ג'ייסון בויל, גילה ששליחת שמות רשת אינטרנט אלחוטי ארוכים או ססמאות למצלמות על ממשק הבלוטות' שלהם (אותו אי אפשר לנטרל) יגרום להן לאתחול. על פי boingboing.com, אתחול כל המצלמות בתוך בית הוא נוהל בסיסי של פורצים לפני שהם מבצעים את הפריצה.

מצלמה שתקלוט שם רשת תקול עלולה להתנתק למשך 60-90 שניות, פרק זמן שניתן להאריך על ידי הזנת שמות תקולים נוספים.

הפגם הבסיסי הזה בתכנון מהווה דוגמה כיצד גם חברות בעלות ניהול מקצועי ומשאבים רבים עלולות לספק סחורה ברמה נמוכה כשמדובר בתחום הביטחון. מי שתומכים במתן זכות לחברות לתבוע חוקרי אבטחה שחושפים תקלות במוצרים שלהן טוענים שלרוב, החברות מגיבות בצורה ראויה לפגמים שנחשפים, ואילו הסגרת התקלות בצורה בלתי רשמית היא בלתי אחראית. אך יש לשאול – אם אי אפשר לסמוך על גוגל לבצע תיקונים בסיסיים במוצר שלה על פני שישה חודשים, על מי אפשר לסמוך?

שתי התקלות הראשונות יכולות להוביל למצב של עומס אם הפורץ שולח שם רשת ארוך מדי או סיסמה מוצפנת ארוכה מדי. אלו פעולות שקל לבצע היות שהבלוטות' לעולם אינו מנוטרל מרגע ההקמה וההרכבה של המצלמות, פורצים עלולים לנצל את המצב.

הפעלת אחת התקלות הללו תגרום למכשיר לקרוס ולאתחל, התקלה השלישית מעט יותר רצינית, היות שהיא מאפשרת לתוקף לאלץ את המצלמה להתנתק באופן ממושך מהרשת הביתית אליה היא מחוברת על ידי העברת שם רשת חדש. במידה שאותו השם לא קיים, המצלמה מוותרת על הסיכוי להתחבר אליו וחוזרת לרשת המקורית, אך כל התהליך יכול לקחת 60-90 שניות, במהלכן המצלמה לא מבצעת תיעוד.