This post is also available in:
English (אנגלית)
מיליוני צרכנים המשתמשים במצלמות מעקב קטנות ומחוברות לאינטרנט עלולים לחשוף את בתיהם ורשתותיהם לסיכונים חמורים מבלי לדעת זאת. ניתוח עדכני מגלה כי דגמים מסוימים של מצלמות נסתרות נפוצות ומכשירים דומים — שלעיתים מוסווים כחפצים יומיומיים כמו שעונים מעוררים, מטעני USB או שקעי קיר — סובלים מחולשות עמוקות שמאפשרות גישה קלה לגורמים חיצוניים.
מצלמות אלו, המנוהלות לרוב דרך אפליקציית LookCam או פלטפורמות קשורות כמו tcam, CloudWayCam ו-AIBoxcam, זמינות בזול ונמכרות בהמוניהן באינטרנט. אך לפי סקירה טכנית מעמיקה של חוקר האבטחה ולדימיר פלנט, הן כוללות ליקויים קריטיים בתוכנה ובחומרה — אשר מותירים את הצילומים האישיים חשופים לחלוטין לגישה בלתי מורשית.
אחת הבעיות המרכזיות נעוצה בפרוטוקולי התקשורת של המכשירים: מרבית הנתונים הנשלחים לענן מועברים ללא הצפנה מתאימה. גם כאשר נעשה שימוש בהצפנה, מדובר באלגוריתמים חלשים וביישום רשלני, עם מפתחות כתובים ישירות בתוך הקוד ללא הסתרה. בנוסף, אין כל מנגנון אימות תקין מול שירותי הענן — מה שאומר שכל מי שמצליח להשיג או לנחש את מזהה המכשיר, יכול לצפות בשידור חי או לגשת להקלטות המאוחסנות.
ניתוח תעבורת הרשת מגלה שהמצלמות שולחות מידע לא מוצפן לשרתי ענן מרוחקים, לעיתים קרובות דרך פרוטוקול HTTP בסיסי. חמור מכך, אין כל אימות של זהות מפעיל שירות הענן — מה שמאפשר לתוקפים, או אף לספקי אינטרנט, ליירט או להסיט את הצילומים בקלות יחסית.
חוקרי אבטחה מצאו גם כי המכשירים אינם ניתנים לעדכון. קושחת המצלמות אינה תומכת בשדרוגים, והארכיטקטורה שלהן כוללת פרצות מוכרות כגון buffer overflows וביטול אכיפת סיסמאות. ליקויים אלה מאפשרים הרצת קוד מרחוק והוספת המכשירים לרשתות בוטנט.
בהיעדר שליטה אפקטיבית למשתמש, חוסר אחריות מצד היצרנים, והיעדר יכולת לעדכן או לתקן, המצלמות הללו מהוות איום אבטחה מתמשך. מומחים ממליצים בחום להימנע משימוש או מהפצה חוזרת של המכשירים הללו, ומדגישים כי הסרתם מהשימוש היא הפעולה האחראית היחידה.
עם זאת, ראוי לציין כי ייתכן שניתן לנצל את הפגיעות הזו גם למטרות חיוביות. מצלמות נסתרות כמו אלו משמשות לעיתים לתיעוד בלתי חוקי של אנשים ללא ידיעתם או הסכמתם. רשויות אכיפת החוק עשויות לעשות שימוש בחולשה זו כדי לאתר עבריינים המשתמשים במצלמות כאלה למטרות זדוניות.
