16 мая 2016

[инцидент] Умные дверные звонки Ring показывали пользователям чужую картинку

В умных видеодомофонах Ring, которые позиционируются компанией-производителем как IoT-дверные звонки, был обнаружен неприятный баг. Владельцы Ring обнаружили на экранах своих мобильных устройств видео с чужих домофонов. Оказалось, произошла путаница с ID в базе.
О странном инциденте рассказало издание Android Central, ссылаясь на жалобы пользователей домофонов Ring. Обладатели этих умных дверных звонков, как обычно, получали уведомление о том, что им звонят в дверь, но при этом видеопоток демонстрировал им чужое крыльцо и незнакомых людей. Оказалось, что пользователи принимают сигналы с чужих домофонов.

Системы Ring позиционируются как современные IoT-устройства, позволяющие подключить домофон к интернету посредством Wi-Fi. Владельцы Ring, даже находясь вне дома, могут узнать, кто звонит в дверь, а имея еще и умный дверной замок, могут даже удаленно впустить гостей в дом.

Необычная путаница в видеопотоках произошла по вине производителя Ring. Вот как объяснили случившееся представители компании:
«Мы генерируем случайные call ID для продуктов Ring. Мы произвели очень трудоемкое тестирование новых Ring Video Doorbell Pro, работающих на экспериментальном ПО. Когда бета-тест завершился, и произошел запуск коммерческого продукта, номера некоторых пользователей оказались сразу в двух разных базах. В результате эти call ID были перезаписаны».
Представители фирмы-производителя уверяют, что видеопотоки перепутались менее чем в десяти отдельных случаях, тогда как в день совершается более 4 млн звонков. Проблема коснулась только пользователей устройств Ring Video Doorbell Pro. Также разработчики Ring сообщили, что две упомянутые базы уже были объединены в одну, и подобных сбоев не может возникнуть в будущем.

Умные дверные звонки Ring не впервые фигурируют в сводках новостей. В январе 2016 года специалисты компании Pen Test Partners обнаружили, что корпус наружного модуля устройства, расположенного на улице, оснащен большой оранжевой кнопкой. Эта кнопка активирует режим AP (Access Point), который используется для быстрого подключения беспроводных устройств. При этом устройство хранит в виде обычного текста SSID домашней Wi-Fi сети и PSK (Pre-Shared Key, он же пароль). То есть у злоумышленника есть все, что нужно для подключения к чужой домашней сети.