تصور کنید دوربینی که برای مراقبت از کودک یا خانه خریدهاید، بهدلیل ضعف امنیتی طوری تنظیم شده باشد که فردی خارج از خانه هم بتواند به تصویرها یا دادههای آن دسترسی پیدا کند. گزارشی تازه نشان میدهد بیش از یک میلیون دوربین و مانیتور کودک وابسته به فناوری شرکت «میری تکنولوژی» (Meari Technology)1 چنین ریسکی داشتهاند.
البته این موضوع به معنای آسیبپذیری تمام محصولات این شرکتها نیست، اما همین عددِ بیش از یک میلیون دستگاهِ در معرض دسترسی، برای یک محصول خانگی مثل دوربین کودک یا دوربین داخل خانه بسیار نگرانکننده است.
مشکل از کجا شروع شد؟
یک پژوهشگر امنیتی اهل فرانسه به نام «سمی ازدوفال»، که پیشتر هم در ماجرای دسترسی ناخواسته به هزاران جاروبرقی رباتیک برند DJI خبرساز شده بود، متوجه شد که بیش از یک میلیون دوربین شرکت میری از راه دور قابل دسترسی هستند. او صرفاً با بررسی کدهای اپلیکیشن اندروید این دوربینها، موفق به استخراج یک کلید دیجیتال (چیزی شبیه به نسخهبرداری از شاهکلیدِ تمام خانهها) شد؛ کلیدی که امکان دسترسی به دادههای مربوط به دستگاههایی در ۱۱۸ کشور را فراهم میکرد.
گزارش همچنین میگوید برخی رمزهای مربوط به زیرساخت شرکت همچنان روی مقدارهای ساده و پیشفرضی مثل «admin» یا «public» مانده بود؛ ضعفی که در سامانههای متصل به اینترنت میتواند بسیار خطرناک باشد.
حتما مطالعه کنید
وقتی این پژوهشگر ارتباط شبکهی دوربینها را به نقشهی جهانی متصل کرد، میتوانست تصویر برخی خانهها، آدرس ایمیل کاربران و موقعیت جغرافیایی تقریبی دستگاهها را ببیند. او همچنین موفق شد دهها هزار عکس ذخیرهشده از این دوربینها را روی سرورهای بدون محافظت شرکتی پیدا کند و گفت:
«من میتوانم عکسها را بدون نیاز به رمز عبور، کرک کردن یا هک کردن دریافت کنم. فقط روی لینکها کلیک میکنم و تصویر به راحتی نمایش داده میشود.»
به گفته پژوهشگر، این شرکت چینی موضوع را جدی نگرفته بود تا اینکه این پژوهشگر به یک سرور داخلی دسترسی پیدا کرد؛ سروری که حاوی رمزهای عبور و اطلاعات تماس ۶۷۸ کارمند همین شرکت بود! در نهایت، آنها دسترسی پژوهشگر را قطع کردند و متوجه عمق فاجعه شدند.
نکته
اگر مدل دستگاه شما از فناوری میری استفاده میکند، بررسی کنید آیا نسخه فریمور آن ۳.۰.۰ یا بالاتر است یا نه.
راهحل چیست؟
امروزه بسیاری از مانیتورهای جدید اتاق شیرخواران با برچسب «بدون نیاز به وایفای» به فروش میرسند. اگرچه هیچ ابزار دیجیتالی در برابر نفوذ صددرصد امن نیست، دستگاههایی که به اینترنت متصل نمیشوند و صرفاً با امواج کوتاه رادیویی در فضای بستهی خانه کار میکنند، برای هکرهایی در آن سوی دنیا غیرقابلدسترستر خواهند بود.
اما اگر از دوربین کودک، دوربین خانگی یا مانیتور متصل به اینترنت استفاده میکنید، مهمترین کار این است که آن را مثل یک وسیله حساس امنیتی ببینید، نه فقط یک گجت ساده خانگی. برای کاهش خطر، این چند کار را انجام دهید:
- رمزهای پیشفرض را عوض کنید و برای حساب اپلیکیشن رمز قوی و یکتا بگذارید.
- اگر اپلیکیشن دوربین از تأیید دومرحلهای پشتیبانی میکند، آن را فعال کنید.
- دسترسی از راه دور، اشتراکگذاری تصویر یا ذخیرهسازی ابری را فقط وقتی فعال بگذارید که واقعاً نیاز دارید.
- دوربین را در مکانهای خیلی خصوصی خانه قرار ندهید و وقتی لازم نیست، آن را خاموش یا پوشانده نگه دارید.
- در صورت امکان، برای دوربینها و وسایل هوشمند، یک شبکه وایفای جدا از لپتاپ و گوشی اصلی خانه بسازید.
ماجرای میری یادآوری میکند که دوربین کودک یا دوربین خانگی فقط یک وسیله ساده نیست؛ وقتی به اینترنت وصل میشود، بخشی از حریم خصوصی خانه را به زیرساخت یک شرکت میسپارد.
- میری تکنولوژی (Meari Technology)، یک شرکت چینی تولیدکننده دوربین و مانیتور کودک است که بسیاری از محصولاتش بهصورت «وایتلیبل» (White-label) عرضه میشوند؛ یعنی یک محصول میتواند با نام برندهای مختلف در بازار فروخته شود. در گزارش «ورج» به برندهایی مانند Arenti، Anran، Boifun، ieGeek، Wyze، Zhiyun، Intelbras و Petcube اشاره شده، اما این به معنای آسیبپذیری همه محصولات این برندها نیست. ↩︎
