Jeg har ventet på det rigtige tidspunkt til at gennemgå nogle gamle indendørs sikkerhedskameraer i de sidste mange måneder. Det handler ikke om mærket (Blink) eller kameraerne (som fungerer ret godt indtil videre!). Det er, at hver gang jeg forbereder mig på at skrive om dem, ville nyheder som det seneste Ring ransomware-angreb eller Eufys usikre netværk dukke op, og jeg ville sparke mine anmeldelser af sikkerhedskameraer ned ad vejen.
Hvorfor? Fordi jeg er blevet mere og mere utilpas med at anbefale nogen sikkerhedskamera, når man ved, om backend'en er sikker eller ej, er blevet noget, som kun bug dusørjægere og clairvoyante kan fortælle dig.
Når jeg anmelder et produkt, prøver jeg at være så kræsen som muligt. Ikke fordi jeg vil give en dårlig anmeldelse, men fordi det er min opgave at gå forbi de idealiserede pressemeddelelser og spec sheets for at se revnerne under overfladen.
En positiv gennemgang af sikkerhedskameraer betyder, at vi tager dets interne sikkerhed for pålydende, men det er svært at stole på *enhvert* sikkerhedsfirma i disse dage.
Du kan spotte nogle af disse problemer med et sikkerhedskamera, f.eks. hvis videokvaliteten eller AI-detektion ikke består. Men selv med bedst mulige kameraer vi har testet og elsket, der er altid spøgelset af et ukendt brud, der lurer i horisonten.
Det er ikke noget, jeg (eller de fleste teknologijournalister) er kvalificeret til at opdage. Med en smartphone kan vi selv teste det meste af software og sikkerhed, og brugerne har næsten fuld kontrol over at blokere eller aktivere apps i at spore dem. Med et sikkerhedskamera håndteres al den datasikkerhed eksternt, og vi kan kun tage virksomheden på ordet, at den beskytter dine data sikkert.
Problemet er, at vi virkelig kan ikke stole på, at et sikkerhedsfirma giver en ærlig vurdering af dets cybersikkerhed længere - hvis vi nogensinde kunne.
Uanset om de har specialiseret sig i hardware eller software, f.eks LastPass eller Eufy har en tendens til at skjule eventuelle aktive brud i flere måneder, indtil de bliver offentliggjort, og bagefter nedtone alvoren med formildende omstændigheder og teknisk jargon.
Selv med den mest sikre virksomhed muligt, er det eneste, der skal til, en phishing-slip eller dårlige sikkerhedsforanstaltninger hos en tredjepart affiliate for at gøre dit sikkerhedskamera til en gateway, så nogen kan få adgang til dine hjemmefeeds, uden at du nogensinde ved det.
En uendelig strøm af foruroligende hændelser
Vice rapporterede i sidste uge, at en tredjepartsleverandør tilknyttet Ring var blevet ramt af BlackCat ransomware; Ring-medarbejdere er blevet fortalt "ikke diskutere noget om dette," og vi kan endnu ikke være sikre på, hvilke brugerdata der er på spil, hvis Amazon ikke betaler.
Før denne seneste hændelse opdagede sikkerhedsforsker Paul Moore, at Eufy-kameraer sendte brugernes billeder og ansigtsgenkendelsesdata til skyen uden deres viden eller samtykke, at du kunne streame nogen som helst's private kamera-feeds fra en webbrowser, og at Eufys AES 128-kryptering nemt blev knækket, fordi den brugte simple nøgler.
Eufy reagerede ved at rette nogle problemer og redigere sine retningslinjer for beskyttelse af personlige oplysninger for at garantere færre beskyttelse for sine brugere, hvorpå vi anbefalede dig smid dine Eufy-kameraer væk.
Sammenlignet med den episke skala af Verkada-kamerabrudet, hvorunder 150.000 kameraer kunne tilgås via én hovedadgangskode, var de fleste offentligt kendte fejl med velkendte hjemmesikkerhedssystemer relativt små og opstod for flere år siden. Men der er stadig grund til bekymring.
I nogle tilfælde, som med Wyze, skjulte de en stor sårbarhed med Wyze Cam v1 i tre år indtil Bitdefender afslørede dem. Selvom "en ekstern angriber [kunne] få adgang til kamerafeedet eller udføre ondsindet kode for yderligere at kompromittere enheden," Wyze retfærdiggjorde sig selv ved at sige, at hackeren skulle få adgang til dit hjems Wi-Fi, og den fiksede problemet i sine nyere kameraer.
Før Rings ransomware-hændelse blev den involveret i kritik, da en kilde fortalte The Intercept, at Ring-entreprenører kunne se kundernes optagelser med intet andet end en e-mailadresse og at Ring-chefer mente, at kryptering af optagelser "ville gøre virksomheden mindre værdifuld."
Ring faldt til sidst og krypterede sine kameraer, men det tiltrækker stadig hyppig kritik for at give Ring-dørklokke-optagelser til politiet uden brugerens samtykke.
En ADT-tekniker fik adgang til hjemmefeeds 9.600 gange under dække af at teste systemerne for at spionere på kvindelige kunder uden deres viden, pr. Sikkerhedsmagasin. Brinks Home gav ved et uheld kunder adgang til andre brugeres navne, adresser og telefonnumre, men det tog måneder at løse problemet, efter at en kunde advarede dem, rapporterer Sikkerhedssalg.
Jeg kunne fortsætte, eller du kan lige så nemt søge efter dit foretrukne sikkerhedsfirma, tilføje "brud" til sidst og se nogle foruroligende historier.
At acceptere det ukendte
Min overordnede pointe er enkel: Selv populære sikkerhedsfirmaer med tilsyneladende uindtagelig kryptering vil gøre det beslutninger, der gør dine private data eller hjemmefeeds sårbare - eller ansætte en person, der udnytter deres magt forstyrrende måder. Og når først det firma finder ud af det, er der absolut ingen garanti du vil finde ud af det, medmindre nogen fløjter eller en sikkerhedsekspert opdager deres fejl.
I dette miljø, lystigt anmelder nogen virksomhedens sikkerhedskamera på dets fordele og anbefale det til mine læsere føles uansvarligt. Det er min job at gøre det, og jeg vil skrive om Blink Indoor og Blink Mini, når det er klart, hvordan dets moderselskab håndterer Ring ransomware-angrebet.
Vi kan gennemgå sikkerhedskameraer på deres interne fordele, men vi kan ikke gennemgå de eksterne faktorer, der kan underminere alt, hvad der er nyttigt ved dem.
Men når jeg gør det, bliver jeg nødt til at medtage en stor advarsel om, at jeg bare ikke ved, hvad Blinks (eller nogen virksomheds) svageste led er - en skruppelløs medarbejder, et upålideligt tredjepartsteam, svag kryptering eller noget helt andet - der kan underminere alt nyttigt ved den enhed, jeg er anbefale.
I mellemtiden kan jeg henvise folk til sikkerhedskameraer med lokal lagring for at forsøge at undgå at beholde dine private optagelser på virksomhedens servere (og spare på månedlige gebyrer). Men det er ikke altid en garanti for sikkerhed; Eksempelvis plejede vi at roste Eufys kameraer som en lokal opbevaringsmulighed, før de mange problemer kom frem.