Ein Dutzend Mängel eines Bäckers in einem kleinen Paket
Die Akuvox E11 klingt nach einer interessanten Türkamera, da sie die Fähigkeit hat, Türen zu öffnen, Live-Video und-Audio aufzunehmen und ein Bild von jedem zu machen, der vorbeigeht und erstellt in Echtzeit ein Protokoll der Ein-und Ausgänge. All diese Leistung in einem kleinen IoT-Gerät wäre praktisch, vorausgesetzt, es wäre auch gut gesichert, um eine unbefugte Nutzung zu verhindern. Leider ist es ein Sicherheitsalptraum und die 13 Fehler, die in diesem Artikel aufgedeckt werden, sind schlimm genug, dass Sie wahrscheinlich den Stecker ziehen sollten, bevor Sie weiterlesen.
Einige der Funktionen werden nicht benötigt ordnungsgemäße Authentifizierung und es gibt auch fest codierte Schlüssel, die mit zugänglichen Schlüsseln verschlüsselt werden. Die erfassten Standbilder werden auf ein unverschlüsseltes FTP in ein Verzeichnis hochgeladen, das jeder anzeigen und herunterladen kann. Es wurde auch entdeckt, dass es Möglichkeiten gibt, die Authentifizierung beim Zugriff über eine Webschnittstelle zu umgehen, von der aus Sie die meisten Funktionen steuern können. Als ob das nicht schon schlimm genug wäre, kann die Telefon-App, die mit dem Akuvox E11 kommuniziert, auf die gleiche Weise genutzt werden.
Akuvox, das Unternehmen, das diesen Sicherheitsalbtraum geschaffen hat, hat auf mehrere Versuche von Claroty nicht reagiert und die CERT-Organisationen, um sie zu erreichen. Wenn Sie also einen Akuvox E11 haben oder jemanden kennen, der einen hat, schalten Sie ihn aus und nicht wieder ein!
