El mismo día que una familia de Mississippi está demandando a Amazon de cámara inteligente de propiedad propia Ring Por no hacer lo suficiente para evitar que los piratas informáticos espíen a sus hijos, la compañía ha lanzado su “centro de control” previamente anunciado, que espera lo haga olvidar de sus prácticas de seguridad verificablemente “horribles”.
En una publicación de blog el jueves, Ring dijo que el nuevo “centro de control” “faculta” a los clientes para administrar su configuración de seguridad y privacidad.
Los usuarios de Ring pueden verificar si han habilitado la autenticación de dos factores, agregar y eliminar usuarios de la cuenta, ver qué servicios de terceros pueden acceder a sus cámaras Ring y optar por no permitir que la policía acceda a sus grabaciones de video sin consentimiento del usuario
Pero profundice más y los últimos cambios de Ring aún no hacen prácticamente nada para cambiar algunas de sus prácticas de seguridad más básicas pero muy criticadas.
Se plantearon preguntas sobre estas prácticas hace meses, después de que los piratas informáticos fueron sorprendidos entrando en las cámaras Ring y observando y hablando remotamente a niños pequeños. Los hackers estaban usando contraseñas y direcciones de correo electrónico previamente comprometidas, una técnica conocida como relleno de credenciales, para ingresar a las cuentas. Algunas de esas credenciales, muchas de las cuales eran simples y fáciles de adivinar, se publicaron más tarde en la web oscura.
Sin embargo, Ring todavía no ha hecho nada para mitigar este problema de seguridad más básico.
TechCrunch ejecutó varias contraseñas a través de la página de registro de Ring y descubrió que podíamos ingresar cualquier contraseña fácil de adivinar, como “12345678” y “contraseña”, que se han clasificado constantemente como algunas de las contraseñas más comunes durante varios años consecutivos.
Para combatir el problema, Ring dijo que en ese momento los usuarios deberían habilitar la autenticación de dos factores, una característica de seguridad que agrega una verificación adicional para evitar infracciones de la cuenta, como rociar contraseñas, donde los piratas informáticos usan una lista de contraseñas comunes en un esfuerzo por forzar su acceso. en cuentas.
Pero Ring todavía usa una forma débil de dos factores, que le envía un código por mensaje de texto. Los mensajes de texto no son seguros y pueden verse comprometidos a través de la intercepción y los ataques de intercambio de SIM. Incluso NIST, el organismo de estándares de tecnología del gobierno, ha desaprobado el soporte para dos factores basados en mensajes de texto. Los expertos dicen que aunque el factor doble basado en texto es mejor que no usarlo en absoluto, es mucho menos seguro que el factor doble basado en aplicaciones, donde los códigos se entregan a través de una conexión cifrada a una aplicación en su teléfono.
Ring dijo que hará que su función de autenticación de dos factores sea obligatoria más adelante este año, pero aún no ha dicho si alguna vez admitirá la autenticación de dos factores basada en aplicaciones en el futuro.
El fabricante de cámaras inteligentes también se ha enfrentado a críticas por su relación acogedora con las fuerzas del orden público, que tiene a los legisladores preocupados y exigen respuestas.
Ring permite el acceso de la policía a los videos de los usuarios sin una citación o una orden judicial. (A diferencia de su empresa matriz Amazon, Ring aún no publica la cantidad de veces que la policía exige acceso a videos de clientes, con o sin una solicitud legal).
Ring ahora dice que su centro de control permitirá a los usuarios decidir si la policía puede acceder a sus videos o no.
Pero no se deje engañar por la promesa de Ring de que la policía “no puede ver sus grabaciones de video a menos que elija explícitamente compartirlas respondiendo a una solicitud de video específica”. La policía aún puede obtener una orden de allanamiento o una orden judicial para obtener sus videos, que No es particularmente difícil si la policía puede demostrar que hay motivos razonables de que puede contener evidencia, como imágenes de video, de un delito.
No hay nada que impida que Ring, o cualquier otro fabricante de casas inteligentes, ofrezca un enfoque de conocimiento cero de los datos del cliente, donde solo el usuario tiene las claves de cifrado para acceder a sus datos. El corte del anillo (y de todos los demás) fuera del ciclo sería lo único significativo que podría hacer si realmente se preocupa por la seguridad y la privacidad de sus usuarios. La compañía tendría que decidir si la compensación vale la pena: una verdadera privacidad para sus usuarios en lugar de perder el acceso a los datos de los usuarios, lo que mataría efectivamente su cooperación continua con los departamentos de policía.
Ring dice que la seguridad y la privacidad “siempre han sido nuestra principal prioridad”. Pero si no está dispuesto a trabajar en lo básico, sus palabras son poco más que promesas vacías.
Source link