«Умный дом» — молодая, но уже вполне сформировавшаяся категория электронных товаров. Чайник с веб-интерфейсом, удаленно отключающийся утюг или система интеллектуального управления освещением были придуманы, чтобы сделать нашу жизнь проще и удобнее. Но безопаснее ли? Добавляя комфорта, каждое из смарт-устройств Интернета вещей привносит и новые угрозы безопасности и приватности, и редкая неделя проходит без сообщений об очередной уязвимости в том или ином умном девайсе. Даже обычная «умная лампочка» может быть использована для взлома домашней сети, а что уж говорить о более серьезном оборудовании?
Ключевым элементом домашней системы безопасности является подключенная к Интернету видеокамера. Существует множество их разновидностей: от видеонянь для наблюдения за младенцами и дверных видеоглазков до сложных моторизованных камер для профессионального видеонаблюдения.
IP-камеры, как понятно уже из названия, подключаются к Интернету периодически или постоянно, и, как правило, изображение с них доступно в специализированном сервисе производителя. Зайдя в подобный сервис со своим логином и паролем, вы получаете доступ к видеопотоку с вашей камеры из любой точки мира. Это удобно, и вряд ли вас заинтересует камера, лишенная такой функциональности, — например, доступная только из локальной сети.
Но сразу появляется множество вопросов: а если мошенники украдут логин и пароль, открывающий доступ к камере? Насколько защищена система облачного видеонаблюдения? Могут ли злоумышленники получить доступ к видеопотоку, не взламывая учетную запись? Ведь если что-то пойдет не так, в распоряжении третьих лиц окажется крайне чувствительная информация — фотографии, а то и видеозаписи из вашего дома.
Нарушенные обещания
Все подобные опасения были прекрасно известны компании Anker, запустившей собственную линейку IP-камер под брендом Eufy. Anker, основанная в 2011 году, — далеко не новичок в производстве электроники: начав с производства зарядных устройств и аксессуаров для смартфонов и ноутбуков, они постепенно выстроили целую линейку портативных электронных устройств на любой вкус, включая и системы видеонаблюдения Eufy.
В рекламе на сайте Eufy разработчики камер обещали максимальную защиту приватности своих пользователей: никаких «облаков», данные полностью хранятся в защищенном локальном хранилище. Функцию удаленного видеонаблюдения можно полностью отключить, а если вы все же решите глянуть, что творится у вас дома, то камера зашифрует видеопоток, передаст его в шифрованном виде в приложение на смартфоне, и лишь там произойдет декодирование сигнала. Речь идет о так называемом end-to-end-шифровании, когда никто, даже сам производитель, не может получить доступа к данным.
Еще один важный момент — система распознавания работает непосредственно на самом устройстве. Встроенный в каждую камеру ИИ анализирует картинку, не передавая ничего на сервера компании, и позволяет распознать присутствие людей в кадре и даже отличать хозяев и жильцов от посторонних людей — чтобы, например, уведомления владельцу камеры приходили, только если в кадре появится чужак.
В общем, тотальная и полная приватность. Только вот недавно выяснилось — сюрприз! — что на самом деле IP-камеры Eufy работают несколько иначе. 23 ноября британский специалист по безопасности Пол Мур опубликовал твит и выложил видео, в которых обвинил Eufy в передаче данных на сервер производителя, даже если владелец камеры эту функцию выключил.
В видеоролике исследователь подробно демонстрирует проблему, которую он обнаружил довольно легко. Установив дверной звонок с камерой Eufy, Пол подключился к веб-интерфейсу устройства и, анализируя исходный код в браузере, доказал, что видеокамера отправляет на сервер производителя снимок всякий раз, когда в кадре появляется человек. То есть как минимум одно обещание — «никаких облаков» — точно было нарушено.
Затем Мур опубликовал еще несколько твитов, в которых рассказал о куда более серьезных проблемах с защитой данных. Предположительно, то самое «надежное» шифрование использует фиксированный ключ, одинаковый для всех пользователей. Более того: этот ключ ранее засветился в коде Eufy, выложенном самой компанией на сервисе Github. Позднее издание The Verge, ссылаясь на Мура и еще одного специалиста по безопасности, рассказало о самом плохом сценарии — якобы видеопоток с камеры может просматривать кто угодно в сети, достаточно узнать правильный адрес для обращения к устройству.
Туманные разъяснения
Стоит отметить, что для первой проблемы с отправкой кадров в облако существует вполне логичное объяснение. По идее камеры Eufy работают так: вы устанавливаете камеру дома и настраиваете приложение на смартфоне. Когда кто-то нажимает кнопку «умного звонка» или система распознавания понимает, что в кадре кто-то появился, вы получаете уведомление с приложенным фото на ваш смартфон. Для таких уведомлений, скорее всего, просто необходима отправка фотоснимка через облачную систему, но… Зачем тогда Eufy обещала «безоблачную» жизнь? Хороший вопрос!
А что насчет возможности удаленного просмотра видеопотока? The Verge и их источники не стали раскрывать все особенности данной проблемы, опасаясь массовой эксплуатации уязвимости. Но кое-что все же известно: во-первых, для передачи видеопотока не используется обещанное шифрование — на самом деле поток вовсе не зашифрован и может быть просмотрен с помощью обычного потокового видеоплеера, например VLC. Во-вторых, для доступа к конкретной камере вам нужно знать ее уникальный URL — проще говоря, адрес в Интернете. Но эти адреса генерируются предсказуемым образом: на основе серийного номера устройства, напечатанного прямо на коробке, а также текущей даты и времени. Для «безопасности» к этим параметрам добавляется случайный четырехзначный набор цифр, который легко найти простым перебором всех вариантов. Единственное, что спасает владельца камеры от злоумышленника, которому известен серийный номер устройства, — камера не передает видеоданные в Сеть постоянно. Ее нужно активировать, например нажав на кнопку дверного звонка, и именно в этот момент потенциальный наблюдатель должен суметь подключиться.
Справедливости ради отметим, что все предположения должен был подтвердить или опровергнуть производитель, но коммуникация со стороны Eufy не слишком помогла разрядить обстановку. В комментариях The Verge и Ars Technica разработчики в целом отрицали существование проблем с безопасностью устройств, а когда речь зашла о конкретных проблемах, минимум дважды делали заявления, которые позднее были опровергнуты.
В одном случае представитель компании утверждал, что видеопоток с камеры не передается, однако в The Verge подтвердили, что смогли подключиться как минимум к двум камерам. В другом производитель подтвердил, что кадры с дверного звонка отправляются на серверы компании, но только для обеспечения доставки тех самых уведомлений на смартфон, после чего изображения удаляются. Однако Пол Мур опроверг и это утверждение простейшим тестом: просмотрев фото с камеры в своем личном кабинете, он сохранил URL-адреса изображений, после чего удалил их на телефоне. Несмотря на то что фотоснимки пропали из личного кабинета, Пол легко получил к ним доступ, просто введя в адресную строку браузера сохраненные URL. Другой исследователь зашел еще дальше: сделав полный сброс видеокамеры, что удалило все сохраненные видео из его аккаунта, он заново привязал устройство к своей учетной записи и… получил доступ к якобы удаленным видео с камеры наблюдения!
Вообще, в индустрии безопасности сложились определенные этические стандарты — как раскрывать информацию об уязвимостях и как на это реагировать производителям, но в случае с Eufy все пошло не так: исследователи не обращались к компании, чтобы дать шанс исправить ошибки, а сразу опубликовали информацию об уязвимостях. Но и сама компания решила отрицать даже очевидные проблемы, раз уж их начали обсуждать публично. Представители Eufy не привели никаких технических аргументов, опровергающих утверждения независимых экспертов, а единственное изменение, которое заметил Пол Мур после публикации своего исследования, — ссылки на кадры с камеры, раньше доступные в открытом виде в коде веб-страницы, стали закодированы. То есть информация по-прежнему отправляется на сервер Eufy, просто отследить это стало сложнее.
Получается, что производитель на своем сайте давал обещания, которые явно не пытался сдержать, видимо надеясь, что никто проверять не будет. А ведь подобный принцип работы камер Eufy может нарушать не только обещания компании, но и региональные законодательства о защите пользовательских данных — например, европейский закон GDPR.
Способы защиты
Случай с Eufy совсем свеж, и еще не доказано окончательно, что посторонний наблюдатель может без дополнительных изысканий легко перехватывать изображения и видеопотоки с произвольной IP-камеры или устройства конкретного пользователя, но существуют примеры и более серьезных проблем с безопасностью. Так, в 2021 году в сетевых видеокамерах китайского производителя Hikvision была обнаружена критическая уязвимость, обеспечивающая атакующему полный контроль над устройством. Для ее устранения был выпущен патч, но даже год спустя десятки тысяч видеокамер по всему миру так и оставались уязвимыми, а данные с них, по сути, мог получить любой желающий. Самое печальное, что владельцы таких устройств могут даже не подозревать о наличии уязвимости, и это — наихудший сценарий.
И перед нами опять два извечных вопроса: кто виноват и что делать? К сожалению, индустрия Интернета вещей практически никак не стандартизирована. Не существует общепринятых норм, обеспечивающих хотя бы минимальную безопасность, а производители защищают свои устройства исходя из собственных представлений о безопасности и имеющихся ресурсов. В этой ситуации пользователю приходится самостоятельно решать, кому из вендоров доверять.
Как справедливо отмечают в Ars Technica, если у вашего устройства есть объектив и Wi-Fi, то рано или поздно в нем наверняка обнаружится какая-нибудь дыра в защите. Интересно, что конструктивно похожие устройства — веб-камеры в ноутбуках и смартфонах — защищены куда лучше: пользователю всегда сообщают о видеосъемке при помощи индикатора, а защитные решения позволяют отслеживать и блокировать доступ к камере со стороны приложений.
Но IP-камеры видеонаблюдения работают автономно, порой — круглосуточно. Увы, но до появления общепринятой системы оценки защищенности устройств не стоит надеяться на обещания производителей — часть работы по обеспечению собственной приватности придется взять на себя. Мы рекомендуем владельцам всех систем видеонаблюдения следить за новостями о проблемах с безопасностью их устройств, внимательно изучать настройки камер, отключать неиспользуемые «облачные» функции и регулярно устанавливать обновления. А принимая решение установить систему видеонаблюдения внутри дома, взвесьте все риски, ведь тут потенциальный ущерб от взлома максимален.