Ассоциация потребителей Великобритании рекомендует уязвимые смарт-камеры
Ассоциация потребителей Великобритании рекомендует пользователям уязвимые смарт-устройства, чем вызвала негодование ИБ-экспертов.
Задачей Ассоциации потребителей, известной под названием Which? и выпускающей одноименный журнал, является информирование британских покупателей о качественных, проверенных продуктах и услугах, независимые рекомендации по покупкам и ознакомление с правами потребителей. Однако, как оказалось, среди рекомендованных Which? товаров есть смарт-камера Samsung SmartCam SNH-P-6410, в которой ИБ-эксперты обнаружили уязвимости, в том числе позволяющие перехватывать видеопоток.
Which? основывает свой обзор домашних камер безопасности на целом ряде критериев, в том числе таких, как функциональность, простота в использовании, цена и безопасность. Как сказано в обзоре SmartCam SNH-P-6410, устройство «вызывает некоторое беспокойство по поводу приватности», однако это не мешает ему возглавлять список рекомендуемых и иметь отметку «Best Buy».
Исследователь безопасности из Pen Test Partners Кен Манро (Ken Munro) не согласен с таким положением вещей. «Журнал Which? рекомендует смарт-камеру, позволяющую шпионить за его читателями», - отметил Манро.
Обнаруженные еще в 2014 году уязвимости оставались неисправленными до недавнего времени. В 2016 году была обнаружена уязвимость, позволявшая внедрять команды, а в апреле 2018 года эксперты «Лаборатории Касперского» опубликовали анализ безопасности SmartCam SNH-P-6410, назвав камеры «пронизанными уязвимостями». Вдобавок к этому, специалисты Pen Test Partners обнаружили еще несколько проблем. Из-за условий соглашений исследователи сообщали об уязвимостях производителю, но не предавали их широкой огласке.
«То есть, мы знали об уязвимостях, но хранили молчание из-за условий контракта», - сообщил Манро.
На чем основывал Which? свою рекомендацию, непонятно. Вероятно, издатели либо не знали о серьезных проблемах с безопасностью SmartCam SNH-P-6410, либо не придали им значения. Зато устройство Hive журнал разнес в пух и прах за сравнительно менее опасные уязвимости.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш