Las cámaras de vigilancia doméstica plantean riesgos de privacidad, fuga de datos por piratería

Escrito por Rita Huang, Danny Tang y Nathan Amery vía The Epoch Times,

El Consejo de Consumidores de Hong Kong probó la seguridad cibernética de diez cámaras de vigilancia para el hogar en el mercado y descubrió que solo un modelo cumplía con el estándar europeo de seguridad cibernética. Al mismo tiempo, los otros nueve plantearon varios problemas de seguridad cibernética, incluida la transmisión de videos y datos sin encriptación y la falta de defensa contra los “ataques de fuerza bruta” de los piratas informáticos para descifrar contraseñas.

Además, la seguridad del almacenamiento de datos de usuario podría haberse mejorado en muchas aplicaciones, con la mitad de los modelos probados capaces de acceder a los archivos de usuario almacenados en dispositivos inteligentes a través de aplicaciones de Android. Algunas aplicaciones incluso solicitaron un permiso excesivo.

El Consejo insta a los fabricantes a mejorar la seguridad cibernética de los productos, como la introducción de diseños de ataques contra la fuerza bruta y el cifrado de datos de video y datos.

Los consumidores también deben establecer contraseñas seguras para sus cámaras de vigilancia y cambiarlas regularmente y hacer un buen uso de los firewalls y las funciones de monitoreo de red.

Los diez modelos de cámaras de vigilancia para el hogar probados tenían un precio de entre $ 269 y $ 1,888, y todos brindaban audio bidireccional, detección de movimiento, visión nocturna, Amazon Alexa y control de voz del Asistente de Google. Los modelos probados fueron de Arlo, Xiaomi, Imou, TP-Link, BotsLab, Eufy, EZVIZ, SpotCam, D-Link y Reolink.

Además, el Consejo encargó a un laboratorio independiente que probara la seguridad cibernética y el diseño de hardware de estos diez modelos con referencia a los estándares europeos ETSI EN 303 645 y el estándar industrial OWASP MASVS.

Entre las diez cámaras de vigilancia, Arlo tiene la puntuación total más alta de cuatro de cinco, con cinco puntos en protección contra ataques, seguridad de transmisión de datos y aplicaciones, y diseño de hardware, pero tres puntos en seguridad de almacenamiento de datos y el precio más alto. de $1,888 en la muestra.

Los otros nueve modelos tienen una ranura para tarjeta de memoria micro-SD, que se puede insertar para guardar videos.

5 modelos no tienen transmisión de datos encriptada

El Consejo dijo que la transmisión de video en vivo a dispositivos móviles a través de la aplicación permite a los usuarios realizar un seguimiento del estado en tiempo real.

Cuatro modelos probados no utilizaron el Protocolo de transporte seguro en tiempo real (SRTP) en la transmisión en vivo, lo que podría proporcionar cifrado de datos y autenticación de mensajes. En su lugar, utilizaron el Protocolo de transporte en tiempo real (RTP) menos seguro y sin cifrar.

Los cuatro modelos son Imou (Modelo: IPC-F88FIP-V2), TP-Link (Modelo: Tapo C210), EZVIZ (Modelo: CS-C6) y D-Link (Modelo: DCS-8350LH).

Además, el Reolink (modelo: Argus 3 Pro) utiliza el Protocolo de transferencia de hipertexto (HTTP) para transmitir datos cuando se conecta a la red Wi-Fi del usuario sin cifrar datos confidenciales para que los piratas informáticos puedan encontrar la información de la cuenta del enrutador a partir de archivos de texto ordinarios.

El Consumer Council recomienda a los fabricantes cambiar al Protocolo de seguridad de transferencia de hipertexto (HTTPS) más seguro para brindar una excelente protección al usuario.

4 No se pudo defender contra los ataques de fuerza bruta

La prueba encontró que se podían descifrar tres muestras utilizando herramientas y programas automatizados que repetidamente (ataques de fuerza bruta) probaron todas las combinaciones posibles de contraseñas durante la transmisión de imágenes en vivo.

Las contraseñas predeterminadas de EZVIZ y D-Link tienen solo seis dígitos o letras, que son muy poco seguras y se descifran fácilmente. El Eufy (modelo: T8441X) también podría romperse.

El Consejo mencionó que la muestra de SpotCam (modelo: Solo 2) no tiene límite sobre cuántas veces un pirata informático puede iniciar sesión con una aplicación de teléfono móvil para obtener información de la cuenta.

El Consejo recomienda que los fabricantes de estos cuatro productos incorporen diseños contra la fuerza bruta, como la autenticación multifactor y la limitación del número de intentos de contraseña.

Las contraseñas temporales son válidas al volver a iniciar sesión en la cuenta en 3 modelos

Cada vez que el usuario inicie sesión para conectarse a la cámara, se utilizará una clave de conversación equivalente a una contraseña temporal. La clave de conversación debería caducar después de la desconexión y el usuario usaría una nueva clave de conversación cuando vuelva a iniciar sesión.

Sin embargo, los resultados de la prueba mostraron que cuando las muestras de BootsLab (modelo: P4 Pro), SpotCam y Reolink se iniciaron para conectarse a la cámara nuevamente, la clave de conversación utilizada para la conexión anterior aún era válida. Si el pirata informático roba la clave de conversación anterior, puede conectarse a la cámara y ver la imagen.

Después de cerrar sesión en una cuenta o iniciar sesión en otra cuenta en la misma aplicación de teléfono móvil, aún se pueden ver imágenes en vivo de la cámara de vigilancia en Reolink cuando se conecta a la cuenta cerrada, una vulnerabilidad de seguridad.

Seguridad de datos insuficiente para el almacenamiento de todas las aplicaciones de muestra

La información confidencial, como direcciones de correo electrónico, nombres de cuentas o contraseñas, se almacenaba en archivos de texto ordinarios sin encriptar. La información relevante solo se eliminaría después de un cierto tiempo, lo que presenta riesgos.

Además, el navegador integrado de la versión de Android de cinco muestras no bloqueó el acceso a archivos, incluidos Imou, TP-Link, Eufy, EZVIZ y D-Link, lo que permitió a los piratas informáticos acceder a archivos en el dispositivo implantando el código. Además, hay cinco muestras de aplicaciones de teléfonos móviles con derechos de acceso excesivos y los datos dentro del dispositivo pueden filtrarse, incluidos Xiaomi Mi (modelo: MJSXJ09CM), Imou, BotsLab, Eufy y EZVIZ.

El Consejo también señaló que la versión de Android de BootsLab utiliza el estándar de cifrado de datos (DES) obsoleto con una longitud de clave más corta de 56 bits.

Académico de la Universidad de la Ciudad: Solo confíe en los fabricantes para mejorar la calidad del producto

El Sr. Tsang Kim Fung, profesor asociado del Departamento de Ingeniería Electrónica de la Universidad de Hong Kong, cree que algunas muestras tienen mayores problemas de seguridad de la red, como el acceso no autorizado al servidor, la transmisión de datos insegura y el cifrado de datos inseguro, que pueden presentar riesgos. como la fuga de privacidad y la fuga de datos de teléfonos móviles.

Sin embargo, el diseño del producto y la aplicación de las cámaras de vigilancia para el hogar son responsabilidad del fabricante, y los consumidores solo pueden confiar en el fabricante para mejorar la calidad del producto.

El Consejo recuerda a los consumidores que estén atentos a lo siguiente cuando elijan y utilicen cámaras de vigilancia para el hogar.

Los consumidores deben evitar comprar productos sin marca o de fuentes desconocidas. Deben abrir la aplicación y activar la cámara solo cuando sea necesario monitorear. Además, deben establecer una contraseña segura con no menos de ocho caracteres. La contraseña también debe contener una combinación de letras mayúsculas y minúsculas, números y símbolos especiales.

La contraseña debe cambiarse con regularidad y, si la cámara de vigilancia la instala y configura alguien que brinda un servicio puerta a puerta, cambie la contraseña inmediatamente después de la instalación.

Además, los consumidores nunca deben usar dispositivos públicos y aquellos sin permiso de administrador para iniciar sesión en una cuenta y evitar usar redes Wi-Fi públicas para monitorear para evitar que los datos de la cuenta sean registrados y robados.