التهديدات
الأشياء (IoT) مخاطر أمان وخصوصية جديدة، ومن النادر أن يمر أسبوع دون الإبلاغ عن ثغرة أمنية أخرى في هذه الأداة الذكية أو تلك. حتى “المصباح الكهربائي الذكي” يمكن استخدامه لاختراق شبكة منزلية، ناهيك عما يمكن القيام به مع معدات أكثر جدية.
العنصر الرئيسي في أي نظام أمني منزلي هو كاميرا فيديو متصلة بالإنترنت. تأتي بأشكال متنوعة: بدءًا من الكاميرات الصغيرة لمراقبة المربيّات وجرس الباب الذي يعمل بالفيديو وصولًا إلى الكاميرات الآلية المتطورة لمراقبة الفيديو الاحترافية.
تكون كاميرات IP، كما يوحي الاسم، متصلة بالإنترنت بشكل دائم أو متصلة بشكل دوري، وعادة ما تكون اللقطات متاحة عبر الخدمة المتخصصة الخاصة بالبائع. ويتيح لك تسجيل الدخول إلى هذه الخدمة الوصول إلى دفق الفيديو الخاص بالكاميرا أينما كنت في العالم. وإلى جانب سهولة الاستخدام، فإن البديل — مثل الكاميرا التي لا يمكن الوصول إليها إلا من شبكة محلية — لا يرجح أن يجذب العملاء المحتملين.
لكن هذا يثير مجموعة من الأسئلة، لا سيما: ماذا لو سرق المخادعون السيبرانيون بيانات اعتماد تسجيل الدخول الخاصة بك؟ ما مدى أمان أنظمة مراقبة الفيديو السحابية؟ هل يمكن للمهاجمين الوصول إلى دفق الفيديو دون اختراق حسابك؟ على أي حال، إذا ساءت الأمور، فإن المعلومات الحساسة للغاية، بما في ذلك الصور ومقاطع الفيديو لبيتك، ستقع في الأيدي الخطأ.
وعود كاذبة
كانت جميع هذه المخاوف معروفة جيدًا لـ Ankerعندما أطلقت خطها الخاص من كاميرات IP تحت العلامة التجارية Eufy. تأسست Anker في عام 2011، وهي ليست وافدة جديدة إلى صناعة الإلكترونيات. وبعد أن بدأت في صنع أجهزة الشحن والإكسسوارات للهواتف الذكية وأجهزة الكمبيوتر المحمولة، قامت تدريجيا ببناء مجموعة كاملة من الأجهزة الإلكترونية المحمولة لتناسب كل ذوق وحاجة، بما في ذلك أجراس الباب التي تعمل بالفيديو وكاميرات المراقبة.
لقطة شاشة من موقع Eufy، تعد بالحماية الكاملة لبيانات المالكين.
في إعلان على موقع Eufy، يضمن مطورو الكاميرا أقصى قدر من الخصوصية وعدم استخدام أي سحابات: يتم الاحتفاظ بجميع البيانات في تخزين محلي آمن. ويمكن تعطيل وظيفة مراقبة الفيديو عن بعد تمامًا ، ولكن إذا كنت ترغب في رؤية ما يحدث داخل منزلك، فستقوم الكاميرا بتشفير دفق الفيديو وإرساله إلى تطبيق على هاتفك الذكي — المكان الوحيد الذي سيتم فك تشفيره فيه. ويُعرف هذا باسم التشفير الشامل، مما يعني أنه لا يمكن لأحد — ولا حتى البائع — الوصول إلى البيانات.
ومن المهم أيضًا أن يعمل نظام التعرف مباشرة على الجهاز نفسه. يحلل الذكاء الاصطناعي المدمج في كل كاميرا اللقطات دون نقل أي شيء إلى خوادم الشركة، ويحدد الأشخاص في الإطار، حتى أنه يميز، على سبيل المثال، مالكي العقارات والمستأجرين عن الغرباء، بحيث لا يتم إخطار مالك الكاميرا إلا إذا ظهر وجه غير مألوف.
الخصوصية الكاملة — مضمونة. ومع ذلك، فقد واجه المستخدمون مؤخرًا مفاجأة صغيرة: تعمل كاميرات Eufy بشكل مختلف قليلاً خلف الكواليس. في 23 نوفمبر/تشرين الثاني، غرد خبير الأمن البريطاني Paul Moore على تويتر مقطع فيديو يتهم فيه Eufy بنقل البيانات إلى السحابة — حتى عندما يتم تعطيل هذا الخيار.
إحدى تغريدات Paul Moore عن مشاكل Eufy في أمن البيانات
يقدم فيديو Moore عرضًا تفصيليًا للمشكلة، التي اكتشفها بسهولة تامة. بعد تثبيت جرس فيديو Eufy، قام Paul بتسجيل الدخول إلى واجهة الويب الخاصة بالجهاز، حيث قام بتحليل شفرة المصدر في المتصفح وأظهر أن الكاميرا ترسل صورة إلى خادم البائع في كل مرة يظهر فيها شخص ما في الإطار. وهذا يعني أن واحدة على الأقل من ضمانات Eufy (” لا سحابة “) ليست صحيحة.
ثم غرد Moore عدة مرات حول بعض قضايا حماية البيانات الأكثر خطورة. من الواضح أن تشفير Eufy “الموثوق” يستخدم مفتاحًا ثابتًا متطابقًا لجميع المستخدمين. والأسوأ من ذلك، أن هذا المفتاح قد ظهر بالفعل في رمز Eufy الذي نشرته الشركة نفسها على GitHub. وفي وقت لاحق، أكد موقع التكنولوجيا The Verge، بالإشارة إلى Moore وخبير أمني آخر، أسوأ سيناريو: يبدو أن أي شخص عبر الإنترنت يمكنه مشاهدة دفق الفيديو ببساطة من خلال الاتصال بعنوان فريد للجهاز.
تفسير غامض
يجب أن يقال إن هناك تفسيرًا منطقيًّا تمامًا للمشكلة الأولى من تحميل اللقطات إلى السحابة. من الناحية النظرية، تعمل كاميرات Eufy على النحو التالي: يمكنك تثبيت الكاميرا في منزلك، وتهيئة التطبيق على هاتفك الذكي. عندما يضغط شخص ما على زر Smart ‘all، أو عندما يرى نظام التعرف شخصًا يظهر في الإطار، تحصل على إشعار على هاتفك الذكي مع صورة مرفقة. الطريقة الوحيدة لإرسال مثل هذه الإشعارات، على الأرجح، هي عبر السحابة. ولكن لماذا إذن وعدت Eufy بتجربة بدون استخدام السحابة؟ سؤال جيد!
وماذا عن دفق الفيديو الذي يمكن الوصول إليه عن بعد؟ لم يكشف The Verge ومصادره عن جميع جوانب المشكلة — خوفًا من أن يتم استغلال الضعف على نطاق واسع. لكن بعض الحقائق معروفة: أولاً، لا يتم استخدام التشفير الموعود لإرسال دفق الفيديو. في الواقع، لا يتم تشفير الدفق على الإطلاق ويمكن عرضه باستخدام مشغل وسائط منتظم، مثل VLC. ثانيًا، للوصول إلى كاميرا معينة، تحتاج إلى معرفة عنوان URL الفريد الخاص بها؛ وبعبارة أخرى — عنوانها على الإنترنت. ولكن يتم إنشاء هذه العناوين بطريقة يمكن التنبؤ بها: استنادًا إلى الرقم التسلسلي للجهاز المطبوع مباشرة على المربع، بالإضافة إلى التاريخ والوقت الحاليين. أضف إلى ذلك (لمزيد من “الأمان “) عدد عشوائي من أربعة أرقام، وهو أمر سهل بالقوة الغاشمة. الشيء الوحيد الذي يحفظ مالك الكاميرا من المهاجم الذي يعرف الرقم التسلسلي للجهاز هو أن الكاميرا لا تقوم بتحميل البيانات باستمرار عبر الإنترنت. ويجب تنشيطها أولاً، على سبيل المثال، عن طريق الضغط على زر جرس الباب، وفي هذه اللحظة يصبح من الممكن لدخيل الاتصال.
وقد طُلب من Anker، صانعة Eufy، أن تؤكد أو تنكر الادعاءات، التي لم تؤد إلا إلى إثارة المزيد من الشكوك. وكما لاحظ The Verge وArs Technica، أنكر المطورون بالنفي القاطع وجود أي مسائل أمنية، وعندما سُئلوا عن مشاكل محددة، وأصدروا بيانين على الأقل دُحضا فيما بعد.
في البداية ، “أكدت” الشركة أنه لم يكن من الممكن مشاهدة لقطات حية من كاميرا، لكن The Verge فعل ذلك بالضبط باستخدام كاميرتين من كاميرات Eufy الخاصة به. في المرة الثانية، اعترف البائع بأن لقطات من جرس الباب يتم إرسالها إلى خوادم الشركة، ولكن فقط لضمان تسليم هذه الإشعارات نفسها إلى الهاتف الذكي، وبعد ذلك يتم حذف الصور. لكن Moore دحض هذا أيضًا عن طريق اختبار بسيط: بعد عرض صور من الكاميرا في حسابه الشخصي، قام بحفظ عناوين URL للصور، ثم حذفها من هاتفه. على الرغم من اختفاء الصور من حسابه الشخصي، إلا أن مور تمكن من الوصول إليها ببساطة عن طريق إدخال عناوين URL المحفوظة في شريط عناوين المتصفح. ذهب الباحث الآخر المذكور أعلاه إلى أبعد من ذلك: بعد إجراء إعادة تعيين كاملة لكاميرا الفيديو، التي حذفت جميع مقاطع الفيديو المحفوظة من حسابه، أعاد ربط الجهاز بحسابه ورأى… مقاطع الفيديو التي يفترض أنها محذوفة!
وبشكل عام، فقد تطورت بعض المعايير الأخلاقية داخل صناعة الأمن، بما في ذلك كيفية الكشف عن المعلومات حول نقاط الضعف وكيف يجب أن يستجيب البائعون. ولكن في حالة Eufy، فقد ذهبت أدراج الرياح: بدلاً من إعطاء الشركة فرصة لإصلاح المشكلات، نشر الباحثون على الفور نقاط الضعف. ثم، لإضافة الوقود إلى النار، اختارت الشركة إنكار المشكلة الواضحة. لم تقدم Eufy أي دليل تقني لدحض ادعاءات الخبراء المستقلين، في حين أن التغيير الوحيد الذي لاحظه Moore بعد منشوراته المدينة هو أن الروابط بإطارات الكاميرا، التي ظهرت سابقًا في نص واضح في HTML، أصبحت الآن غامضة. أي أن المعلومات لا تزال ترسل إلى خادم Eufy — إلا أنه أصبح من الصعب تتبعها.
وهكذا، أخل البائع بوعد آخر على موقعه على شبكة الإنترنت، على أمل ألا يتحقق منه أحد على ما يبدو. لكن هذه الممارسة من قبل Eufy لا تنتهك فقط وعود الشركة، ولكن أيضًا قوانين حماية بيانات المستخدم الإقليمية، مثل اللائحة العامة لحماية البيانات في الاتحاد الأوروبي.
طرق الحماية
لا تزال حالة Eufy في طور النشوء، وهناك حاجة إلى أبحاث إضافية لإثبات أن أحد الدخلاء يمكنه اعتراض لقطات من كاميرا IP الخاصة بمستخدم معين أو عشوائية. ومع ذلك، هناك أمثلة على مسائل أمنية أكثر خطورة. على سبيل المثال، في عام 2021، تم العثور على كاميرات IP من الشركة المصنعة الصينية Hikvision تحتوي على ثغرة أمنية حرجة تمنح المهاجم السيطرة الكاملة على الجهاز. تم إصدار تصحيح لإصلاحه، ولكن حتى بعد عام ، كانت عشرات الآلاف من كاميرات الفيديو في جميع أنحاء العالم لا تزال عرضة للخطر ويمكن الوصول إليها من قبل أي طرف خارجي فضولي. وللأسف، قد لا يكون مالكو هذه الأجهزة على علم بالضعف، وهو أسوأ سيناريو.
لذلك، مرة أخرى نواجه تلك الأسئلة التي تطرح إلى الأبد: من المُلام وماذا نفعل ؟ لسوء الحظ، فإن صناعة إنترنت الأشياء نادرًا ما يتم توحيدها على الإطلاق. لا توجد معايير مقبولة عمومًا من شأنها توفير الحد الأدنى من الأمان على الأقل، ويحمي البائعون أجهزتهم بناءً على الموارد المتاحة ومفاهيمهم الخاصة للأمن. ويقع على عاتق المستخدم تحديد البائع الذي يجب الوثوق به.
وكما يشير Ars Technica عن حق، إذا كان جهازك يحتوي على عدسة وWi – Fi، فإن شخصًا ما سيجد ثقبًا أمنيًا فيه عاجلاً أم آجلاً. ومن المثير للاهتمام أن الأجهزة المتشابهة من حيث التصميم — كاميرات الويب في أجهزة الكمبيوتر المحمولة والهواتف الذكية — تتمتع بحماية أفضل بكثير: يضيء المؤشر عندما تكون الكاميرا قيد الاستخدام، وتراقب حلول الأمان التطبيقات وتحظر الوصول غير المصرح به إليها.
من ناحية أخرى ، تعمل كاميرات مراقبة IP بشكل مستقل ، أحيانًا على مدار الساعة طوال أيام الأسبوع. للأسف، فحتى يظهر نظام مقبول عمومًا لتقييم أمان الجهاز، يجب عليك عدم الاعتماد على “ضمانات” البائعين، ولكن يجب عليك اتخاذ بعض التدابير الخاصة بك لحماية خصوصيتك. نوصي بأن يراقب مالكو أي نظام مراقبة عبر الفيديو الأخبار حول مشكلات الأمان مع أجهزتهم، وأن يراجعوا بعناية إعدادات الكاميرا، وأن يوقفوا تشغيل أي ميزات سحابية غير مستخدمة، وأن يقوموا بتثبيت التحديثات بانتظام. وعند اتخاذ قرار بتركيب نظام مراقبة عبر الفيديو داخل منزلك، قم بتقدير جميع المخاطر — حيث إن الضرر المحتمل من القرصنة ضخم بشكل واضح.
النصائح