وبلاگ کسپرسکی آنلاین | امنیت دوربین‌های IP: بد، زشت، شرور

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ خانه‌های هوشمند نشان‌دهنده‌ی دسته‌بندی کالاهای الکترونیکی جوان و در عین حال تمام‌عیار هستند. کتری‌هایی با رابط کاربری، اتوهایی که از راه دور خاموش می‌شوند، سیستم‌های هوشمند کنترل نور- همگی اختراع شده‌اند تا زندگی ما را راحت‌تر کنند. اما این محصولات امن هستند؟ جدا از بُعد راحتی، دستگاه‌های اینترنت اشیاء (IoT) با خود ریسک‌های حریم خصوصی و امنیتی جدیدی نیز می‌آورند. کم پیش آمده یک گجت هوشمند دست‌کم یک یا دو آسیب‌پذیری در خود نداشته باشد. حتی یک لامپ هوشمند می‌تواند برای هک کردن شبکه خانگی مورد استفاده قرار گیرد تازه بگذریم که با تجهیزات جدی‌تر چه کارها که نمی‌شود کرد‍!

عنصر کلیدی هر سیستم امنیتی خانگی، دوربین ویدیویی‌ای است که به اینترنت وصل باشد. آن‌ها را در رنگ‌ها و طرح‌های مختلف می‌بینیم: از دوربین‌ها و زنگ‌ درهای ویدیویی جمع‌ و جور و بانمک گرفته تا دوربین‌هایی با پیژیده‌ترین موتوربندی که مخصوص نظارت‌ ویدیویی‌های حرفه‌ای هستند. دوربین‌های IP همانطور که از اسمشان پیداست همیشه آنلاین هستند و این کانکشن به صورت مرتب و دوره‌ای برایشان اتفاق می‌افتد. فیلم نیز معمولاً از طریق سرویس تخصصی شخص فروشنده قابل دسترسی است. لاگ شدن به سرویس به شما دسترسی به پخش ویدیو دوربین را از هر کجای این جهان که هستید می‌دهد. مدل‌های جایگزین جدا از کارامد بودنشان –مانند دوربینی که فقط از شبکه لوکال قابلیت دسترسی دارد- چندان چشم کاربران را نمی‌گیرند.

اما این سوالی را در ذهن ایجاد می‌کند: اگر مجرمان سایبری اطلاعات محرمانه لاگین را سرقت کنند چه؟ سیستم‌های نظارت ویدیویی کلود چقدر امن هستند؟ آیا مهاجمین می‌توانند بدون هک کردن اکانت به استریم ویدیو دسترسی داشته باشند؟ از اینها گذشته بدترش این است که داده‌های به شدت حساس از جمله تصاویر و ویدیوهایی از خانه شما به دست مهاجمین بیافتد.

عهدهای شکسته‌شده

تمام این ترس‌ها برمی‌گردد به Anker، شرکتی که خط تولید دوربین‌های IP خود را تحت برند Eufy لانچ کرد. این شرکت که سال 2011 تأسیس شد به سرعت جای خودش را در صنعت لوازم الکترونیکی پیدا کرد. ابتدا کارش را با ساختن شارژر و لوازم جانبی برای اسمارت‌فون و لپ‌تاپ آغاز کرد و رفته رفته طیفی ارائه داد از دستگاه‌های الکترونیکی پورتابل که پاسخگوی هر نوع نیاز و سلیقه‌ای بود (برای مثال زنگ در یا دوربین‌های امنیتی). توسعه‌دهندگان دوربین در آگهی‌ای در سایت Eufy بالاترین میزان حریم خصوصی و عدم استفاده از هیچ کلودی را تضمین می‌دهند: همه داده‌ها در ذخیره‌گاه لوکالِ امنی نگه‌داری می‌شوند. کارکرد نظارت ویدیویی ریموت را می‌شود تماماً غیرفعال کرد اما اگر دوست داشته باشید ببینید داخل خانه‌تان چه خبر است، دوربین استریم ویدیو را رمزگذاری کرده و آن را به اپی روی اسمارت‌فونتان انتقال می‌دهد (تنها جایی که رمزگشایی خواهد شد). این همان رمزگذاری پایان به پایانی است که می‌گوید هیچکس –حتی خود فروشنده هم- نمی‌تواند به داده‌ها دسترسی داشته باشد.

مهمتر اینکه سیستم شناسایی مستقیم روی خود دستگاه کار می‌کند. هوش مصنوعی درون‌سازه‌ای در هر دوربین بدون انتقال چیزی به سرورهای شرکت فیلم را تحلیل می‌کند، افراد موجود در قاب را شناسایی کرده و حتی فرضاً صورت صاحبخانه را با فردی رندوم تمیز می‌دهد تا بدین‌ترتیب اگر صورت ناشناس در فیلم دیده شد اولین نفر به صاحب دوربین اطلاع داده شود. گفته بودند حریم خصوصی تمام و کمال رعایت شده و تضمینش کرده بودند. اما این اواخر کاربران این شرکت حسابی غافلگیر شدند: دوربین‌های Eufy پشت صحنه عملکردی متفاوت داشتند. در تاریخ 23 نوامبر، پاول مور متخصص امنیتی بریتانیایی در ویدیویی توییت کرد که Eufy متهم به انتقال داده به کلود است (حتی وقتی این گزینه غیرفعال است).

ویدیویی مور نمایش دقیقی بود از مشکل بوجود آمده که او براحتی شناسایی‌اش کرده بود. پاول با نصب زنگ در ویدیویی Eufy به رابط وبی دستگاه –جایی که او کد منبع را در مرورگر تحلیل کرد و نشان داد دوربین هر بار که کسی در قاب می‌آید تصویری را برای سرور فروشنده می‌فرستد- لاگ شد. این یعنی Eufy سر عهدش نمانده بود! (ماجرای دخیل نبودن کلود همه‌اش دروغ بود). مور سپس چندین بار دیگر در مورد برخی مسائل محافظت داده که جدی‌تر بودند توییت منتشر کرد. ظاهراً رمزگذاری قابل‌اطمینان Eufy از یک کلید ثابت برای همه کاربران استفاده می‌کرده. بدتر اینکه این کلید در واقع در کد Eufy پست‌شده توسط خود شرکت در گیت‌هاب ظاهر شده بود. بعدها وبسایت تکنولوژی The Verge با اشاره به مور و متخصص امنیتی دیگری بدترین و شرارت‌بارترین سناریو را تأیید کرد: به نظر می‌رسد هر کسی که آنلاین باشد می‌تواند تنها با کانتکت شدن به آدرس منحصر به فرد دستگاه استریم ویدیو را مشاهده کند.

توضیح مبهم

باید گفت برای مشکل اول که آپلود فیلم در کلود بود توجیه منطقی‌ای وجود دارد. در تئوری، دوربین‌های Eufy این چنین عمل می‌کنند: شما دوربین را در خانه خود نصب و اپ را روی اسمارت‌فونتان تنظیم می‌کنید. وقتی کسی دکمه Smart Сall را فشار می‌دهد یا سیستم شناسایی کسی را می‌بیند که در قاب ظاهر شده شما روی اسمارت‌فون خود نوتیفیکیشنی با یک پیوست عکس دریافت می‌کنید. تنها راه ارسال چنین نوتیف‌هایی –بیشتر مواقع- از طریق کلود است. اما چرا Eufy تجربه بدون کلود را از آن اول به کاربران خود وعده داد؟ سوال خوبیست! و اینکه استریم ویدیو چرا باید از راه دور قابل دسترسی باشد؟

The Verge و منابعش همه ابعاد مشکل را نیز نشان ندادند- از ترس اکسپلویت شدن آسیب‌پذیری. اما برخی فکت‌ها مشخص است: ابتدا اینکه رمزگذاری وعده‌داده‌شده برای انتقال استریم ویدیو استفاده نمی‌شده. در حقیقت، استریم اصلاٌ رمزگذاری نشده و می‌تواند با استفاده از مدیا پلیر معمولی مانند VLC دیده شود. دوم اینکه برای دسترسی به دوربین خاصی، باید یوآرال منحصر به فردش را بدانید. به بیانی دیگر، آدرسش در اینترنت را. اما این آدرس‌ها به طور قابل‌پیش‌بینی‌ای تولید می‌شوند:

بر اساس شماره سریال دستگاه که مستقیم روی جعبه چاپ شده و نیز تاریخ و ساعت فعلی. (برای مثلاً "امنیت" بیشتر) هم شماره چهار رقمی که خیلی راحت می‌شود جستجوی فراگیرش کرد اضافه شده است. تنها چیزی که صاحب دوربین را از دست مهاجمی که شماره سریالی دستگاه را در اختیار دارد نجات می‌دهد این است که دوربین مدام داده را آنلاین آپلود نمی‌کند. برای مثال برای فشار دادن دکمه زنگ در که در این لحظه فرد خارجی می‌تواند متصل شود این کار باید فعالسازی شود. از Anker سازنده Eufy خواسته شده بود تا اظهاراتی که علیه‌ش شده است تأیید یا تکذیب کند. این درخواست تازه مسائل را پیچیده‌تر نیز کرد. به نقل از The Verge و Ars Technica توسعه‌دهندگان وجود هر مشکل امنیتی را انکار کردند و وقتی ازشان در مورد مشکلات خاص پرسیده شد آن‌ها دو جمله گفتند که بعدها نیز صحت آن رد شد. در جمله اول، شرکت گفته بود امکان ندارد از دوربین بشود فیلم لایو را تماشا کرد اما The Verge با استفاده از دوربین‌های شخصی Eufyاش درست همین کار را انجام داد! در دومی هم فروشند اعتراف کرد فیلمی که از زنگ در دریافت می‌شود به سرورهای شرکت ارسال می‌شود اما فقط برای این است که تضمین شود این نوتیف‌ها به اسمارت‌فون نیز ارسال می شوند (و تصاویر بعداً حذف خواهند شد). اما مور با تست ساده‌ای این جمله را نیز نقض کرد: بعد از مشاهده عکس‌ها از دوربین در اکانت شخصی‌اش، او یوآرال‌های تصاویر را ذخیره کرد و از گوشی خود پاک نمود. گرچه تصاویر از اکانت شخصی او غیب شده بودند اما مور توانست خیلی راحت با وارد کردن یوآرال‌های ذخیره‌شده در نوار آدرس مرورگر، به آن‌ها دسترسی پیدا کند.

محققی دیگر حتی یک گام جلوتر هم رفت: بعد از ریست کامل دوربین ویدیویی که طی آن هم ویدیوهای ذخیره‌شده از اکانتش پاک شد از نو دستگاه را به اکانتش وصل کرد و باز هم آن ویدیو‌ها را دید (ویدیوهایی که قرار بود دیگر اثری ازشان نباشد!). کلی بگوییم، برخی استانداردهای اخلاقی در صنعت امنیت تکامل یافته است؛ از جمله نحوه افشای اطلاعات آسیب‌پذیری‌ها و اینکه چطور فروشنده‌ها باید واکنش نشان دهند. اما در مورد Eufy همه‌چیز فرق داشت:

محققین به جای اینکه به شرکت اجازه دهند مسائل را رفع کند فوراً آسیب‌پذیری‌ها را عمومی کردند. سپس برای دامن زدن به این آتش، شرکت حتی مسائل و مشکلات محرز و واضح را نیز انکار کرد. Eufy هیچ مدرک فنی برای رد ادعاهای کارشناسان مستقل ارائه نکرد، در حالی که تنها تغییری که مور پس از پست‌های جنایت‌آمیزش متوجه شد این بود که لینک‌های قاب‌های دوربین، که قبلاً با متن واضح در HTML نشان داده می‌شد، اکنون مبهم شده بودند. این یعنی اطلاعات هنوز هم به سرور Eufy ارسال می‌شده- فقط ردیابی‌اش سخت‌تر شده بود. از این رو، فروشنده عهد دیگری را در وبسایت خود شکست و تازه امید داشت کسی این موضوع را متوجه نشود. اما این عمل Eufy نه تنها نشان از عهدشکنی این شرکت دارد که نیز قوانین محافظت از داده کاربری در منطقه را نیز مانند GDPR در اتحادیه اروپا نقض می‌کند.

متودهای محافظت

مورد Eufy هنوز تازه است و برای اینکه به‌طور جامعی ثابت شود فردی غریبه می‌تواند از دوربین IP کاربری خاص یا فردی رندوم فیلمی را رهگیری کند به تحقیقات بیشتری نیاز است. با این حال نمونه‌هایی از مسائل امنیتی جدی‌تر هم وجود دارد: برای مثال در سال 2021 کاشف بعمل آمد که دوربین‌های IP تولیدکننده چینی به نام Hikvision آسیب‌پذیری حیاتی دارند که به مهاجم اجازه می‌دهد روی دستگاه کنترل کامل داشته باشد. پچی برای رفع آن منتشر شد اما حتی یک سال بعدش هم ده‌ها هزار دوربین ویدیویی در سراسر جهان هنوز آسیب‌پذیر بودند و از سوی طرف‌سوم‌ها قابل‌دسترسی. متأسفانه صاحبان چنین دستگاه‌هایی شاید از این آسیب‌پذیری خبر نداشتند که این بدترین حالت ممکن است. پس باری دیگر به این سوال برمی‌خوریم: چه کسی تقصیرکار است و چه می‌شود کرد؟ متأسفانه صنعت IoT هنوز از استانداردیزه شدن به دور است. هیچ عرف به طور کلی پذیرفته‌شده‌ای وجود ندارد که اقل امنیت را ارائه دهد و فروشندگان بر اساس منابع موجود و ایده‌های امنیتی که در ذهن خود دارند دارند کورمال کورمال برنامه امنیتی را اداره کرده و آن را پیش می‌برند. این بر عهده کاربر است که تصمیم بگیرد به کدام فروشنده اعتماد کند.

همانطور که Ars Technica به درستی اشاره می‌کند، اگر دستگاه شما دارای لنز و وای فای باشد، دیر یا زود شخصی یک حفره امنیتی در آن پیدا می‌کند. جالب توجه است که دستگاه‌هایی که از نظر طراحی مشابه هستند - وب‌کم‌ها در لپ‌تاپ‌ها و تلفن‌های هوشمند - بسیار بهتر محافظت می‌شوند: زمانی که دوربین در حال استفاده است یک نشانگر روشن می‌شود و راه‌حل‌های امنیتی برنامه‌ها را نظارت و دسترسی غیرمجاز به آن را مسدود می‌کنند.

از سوی دیگر، دوربین‌های نظارت IP به‌طور مستقل کار می‌کنند، گاهی اوقات 24/7. افسوس، تا زمانی که یک سیستم عمومی پذیرفته شده برای ارزیابی امنیت دستگاه ظاهر نشود، نباید به «ضمانت‌های» فروشندگان تکیه کنید، بلکه اقدامات خاصی را برای محافظت از حریم خصوصی خود انجام دهید. توصیه می‌کنیم دارندگان هر سیستم نظارت تصویری مراقب اخبار مربوط به مشکلات امنیتی دستگاه‌های خود باشند، تنظیمات دوربین را به دقت بررسی، هر گونه ویژگی ابری استفاده نشده را خاموش و مرتباً به‌روزرسانی‌ها را نصب کنند. و هنگامی که تصمیم به نصب یک سیستم نظارت تصویری در داخل خانه خود می‌گیرید، تمام جوانب امنیتی را بسنجید - زیرا آسیب احتمالی ناشی از هک به وضوح بسیار زیاد است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.