Google suspende a Xiaomi del Home Hub por vulnerabilidades de privacidad en sus cámaras
Credit to Author: Naked Security| Date: Wed, 08 Jan 2020 14:32:58 +0000
Google ha suspendido temporalmente las cámaras IP de Xiaomi de su servicio Home Hub después de que un usuario informara que estaba viendo imágenes de dispositivos de otras personas.
Google Home Hub es la respuesta de la empresa al Echo de Amazon: un sistema de automatización del hogar conectado a Internet controlado a través de la GUI (interfaz gráfica de usuario) y un asistente de voz. Se puede utilizar para controlar el termostato o la iluminación, hacer preguntas al Asistente de Google y ver imágenes de las cámaras IP conectadas en su hogar. Desafortunadamente, las cámaras de Xiaomi también comenzaron a mostrar imágenes de las casas de otras personas.
El usuario de Reddit u/Dio-V descubrió que la cámara IP Mijia 1080p de Xiaomi estaba recibiendo imágenes fijas desde los hogares de otras personas cuando accedía a ella a través de su Google Home Hub.
Dio-V dijo que la cámara que se compró era nueva y tenía firmware actualizado, y que pudo ver múltiples imágenes de las cámaras Xiaomi de otras personas cuando se conectaba al dispositivo de Google. Como prueba, publicó imágenes en Reddit, incluyendo un bebé dormido, una persona descansando en una silla y otra persona sentada en una mesa.
Tanto Google como Xiaomi se movilizaron rápidamente para abordar el problema. El fabricante chino admitió el error y explicó que se debía a un problema de almacenamiento en caché en su servidor. En un comunicado enviado a varios puntos de venta, dijo:
Nuestro equipo ha actuado inmediatamente para resolver el problema y ahora está solucionado. Tras una investigación, descubrimos que el problema fue causado por una actualización del caché el 26 de diciembre de 2019, que fue diseñada para mejorar la calidad de transmisión de la cámara. Esto solo ha sucedido en condiciones extremadamente raras. En este caso, sucedió durante la integración entre Mi Home Security Camera Basic 1080p y Google Home Hub con un sistema de visualización en malas condiciones de red.
También hemos encontrado que 1044 usuarios estaban con tales integraciones y solo unos pocos con condiciones de red extremadamente pobres podrían verse afectados. Este problema no ocurriría si la cámara estuviera vinculada a la aplicación Mi Home de Xiaomi.
Un representante de Google respondió a la queja de Dio-V directamente en el hilo de Reddit el día después de que se publicó, pidiendo aclaraciones a través de un mensaje directo. Al día siguiente, Rachel (empleada de Google y gerente comunitaria de Google Home Products) explicó:
A última hora de la noche del 1 de enero, nos enteramos de un problema en el que un usuario de Reddit publicó que su Nest Hub podía acceder a las imágenes de cámaras Xiaomi de otras personas. Hemos estado trabajando con Xiaomi y estamos seguros de que el problema se limitó a la plataforma de tecnología de su cámara. Mientras trabajamos en este problema con Xiaomi, tomamos la decisión de desactivar todas las integraciones de Xiaomi en nuestros dispositivos. Entendemos que esto tuvo un impacto significativo en los usuarios de dispositivos Xiaomi, pero la seguridad y privacidad de nuestros usuarios es nuestra prioridad y creemos que esta era la acción adecuada.
Volveremos a habilitar las integraciones de dispositivos Xiaomi para todo menos la transmisión de la cámara después de que se hayan completado las pruebas necesarias. No restableceremos la funcionalidad de la cámara para dispositivos Xiaomi hasta que estemos seguros de que el problema se ha resuelto por completo. Les mantendremos actualizados con información a medida que esté disponible para compartir.
Varios Redditors estaban comprensiblemente preocupados por el problema, pese a que fuera temporal, y algunos lo llamaron “espeluznante”.
Si bien ambas compañías abordaron el problema de la manera más rápida y eficiente que pudieron, subraya un problema continuo con los servicios IoT basados en la nube, que son vulnerables a errores y fallos técnicas. Hemos visto cámaras que envían imágenes a las personas equivocadas anteriormente, y otras con errores de seguridad que las hacen potencialmente accesibles a través del motor de búsqueda Shodan.
¿Qué se puede hacer para protegerse de los errores del proveedor?
Una solución drástica es evitar depender de la nube y configurar su propia solución de automatización del hogar autohospedada del sistema que puede configurar para no enviar sus datos a terceros. El podcast Self Hosted tiene más información al respecto. Significaría ejecutar su propio servidor (que podría ser una Raspberry Pi) y configurar una VPN decente para acceso remoto.
Ciertamente no es simple, pero es un proyecto personal retador para personas con conocimientos técnicos.