Kompletny chaos: posiadacze urządzeń Ubiqiti mogli się nawzajem podglądać i podsłuchiwać
Ubiquiti to producent sprzętu sieciowego, ale także systemów kamer przemysłowych, urządzeń automatyki domowej czy talerzy satelitarnych. Niezwykle popularna także w Polsce firma nie zaliczy ostatnich dni do udanych – w wyniku błędu prywatność użytkowników urządzeń Ubiqiti mogła zostać znacząco naruszona.
Blamaż Ubiqiti
Jak donosi Bleeping Computer, problemy rozpoczęły się w środę i trwały aż przez 9 godzin, zanim producent się z nimi uporał. Uwagę posiadaczy urządzeń Ubiqiti wzbudziło to, że otrzymują oni MMS-owe powiadomienia o tym, że ktoś pojawił się na nadzorowanym przez ich kamery terenie. Problem w tym, że zdjęcia pokazywały zupełnie nieznane miejsca.
Jeszcze większe zaskoczeniem musiał być widok dostępny w panelu administracyjnym – producent zapewnia do chmurowej wersji, dzięki której za pośrednictwem przeglądarki można zarządzać całą infrastrukturą. Część użytkowników zobaczyła tam nie tylko swoje urządzenia Ubiqiti, ale też dziesiątki innych, które były im nieznane.
Wśród nich znalazły się kamery, za pośrednictwem którym można było podglądać innych. Jeden z użytkowników mógł uzyskać dostęp aż do 88 konsol – miał tam wysokie uprawnienia, które pozwalały np. na tworzenie nowych sieci Wi-Fi. Słowem – posiadacze urządzeń Ubiqiti zyskali możliwość zarządzania infrastrukturą należącą do innych osób.
Apple i Google potwierdzają: służby śledzą obywateli przez powiadomiena pushPodglądanie, podsłuchiwanie i blokady pomieszczeń
Taki stan rzeczy spowodował chaos – użytkownicy otrzymywali liczne powiadomienia czy zdjęcia z kamer i inteligentnych dzwonków, dzięki którym mogli podglądać nieznane sobie osoby, a dostęp do chmurowej konsoli pozwalał na manipulowanie siecią i innymi usługami. W skrajnych przypadkach, gdy dostęp uzyskano do jednego z „inteligentnych” zamków, można było uniemożliwić wejście do chronionych w ten sposób pomieszczeń.
Na szczęście na reakcję producenta nie trzeba było czekać długo. Potwierdził on, że problem występuje i był on spowodowany wadliwą aktualizacją zdalnego dostępu uzyskiwanego za pośrednictwem chmury, który sparował konta z jednej grupy, na którą składa się 1216 użytkowników z kontami innej grupy, do której zaliczało się 1177 kont. Dochodzenie trwa i nie jest jeszcze jasna końcowa skala incydentu.
Problemem zdalny dostęp przez chmurę
Rzadko dochodzi do tak spektakularnej porażki, jeśli chodzi o ochronę prywatności użytkowników (mowa wszak o podglądaniu, podsłuchiwaniu, blokadzie pomieszczeń), jednak nie jest to pierwszy przypadek, w którym urządzenia automatyki domowej obracają się przeciwko użytkownikom z powodu chmury. Awarie chmury skutkowały już wcześniej np. blokowaniem inteligentnych dzwonków drzwiowych, co uniemożliwiało opuszczenie mieszkania.
Źródło: bleepingcomputer.com
