Skip to content

Are home video surveillance systems safe?

    Are home video surveillance systems safe?

    स्मार्ट होम इलेक्ट्रॉनिक सामानों की एक युवा, फिर भी पूर्ण श्रेणी का प्रतिनिधित्व करते हैं। वेब इंटरफेस के साथ केटल, दूर से बंद होने वाली आयरन, स्मार्ट लाइटिंग कंट्रोल सिस्टम – इन सभी का आविष्कार हमारे जीवन को आसान बनाने के लिए किया गया है। लेकिन क्या ये उत्पाद सुरक्षित हैं? सुविधा के अलावा, इंटरनेट ऑफ थिंग्स (IoT) डिवाइस नए सुरक्षा और गोपनीयता जोखिम लाते हैं, और यह एक दुर्लभ सप्ताह है जो इस या उस स्मार्ट गैजेट में किसी अन्य भेद्यता की रिपोर्ट के बिना गुजरता है। यहां तक ​​कि एक “स्मार्ट लाइट बल्ब” का भी इस्तेमाल किया जा सकता है एक होम नेटवर्क में हैक करेंकोई बात नहीं अधिक गंभीर उपकरण के साथ क्या किया जा सकता है।

    किसी भी गृह सुरक्षा प्रणाली का एक प्रमुख तत्व इंटरनेट से जुड़ा एक वीडियो कैमरा है। वे सभी स्वादों में आते हैं: नैनी कैम और वीडियो डोरबेल से लेकर पेशेवर वीडियो निगरानी के लिए परिष्कृत मोटरयुक्त कैमरे तक।

    आईपी ​​​​कैमरा, जैसा कि नाम से पता चलता है, स्थायी रूप से ऑनलाइन हैं या समय-समय पर कनेक्ट होते हैं, और फुटेज आमतौर पर विक्रेता की अपनी विशेष सेवा के माध्यम से उपलब्ध होती है। इस सेवा में लॉग इन करने से आप दुनिया में कहीं भी हों, कैमरे की वीडियो स्ट्रीम तक पहुंच प्राप्त कर सकते हैं। आसान होने के अलावा, विकल्प – जैसे कि केवल एक स्थानीय नेटवर्क से सुलभ कैमरा – संभावित ग्राहकों से अपील करने की संभावना नहीं है।

    लेकिन इससे कई सवाल खड़े होते हैं, कम से कम नहीं: क्या होगा अगर साइबर अपराधी आपके लॉगिन क्रेडेंशियल्स चुरा लें? क्लाउड वीडियो सर्विलांस सिस्टम कितने सुरक्षित हैं? क्या हमलावर आपके खाते को हैक किए बिना वीडियो स्ट्रीम तक पहुंच सकते हैं? आखिरकार, अगर सबसे खराब बात आती है, तो अत्यधिक संवेदनशील जानकारी, जिसमें आपके घर की छवियां और वीडियो शामिल हैं, गलत हाथों में पड़ जाएंगी।

    टूटे हुए वादे

    इस तरह के सभी डर एंकर को अच्छी तरह से पता थे जब उसने यूफी ब्रांड के तहत आईपी कैमरों की अपनी लाइन लॉन्च की। 2011 में स्थापित, एंकर इलेक्ट्रॉनिक्स उद्योग के लिए नया नहीं है। स्मार्टफोन और लैपटॉप के लिए चार्जर और सहायक उपकरण बनाना शुरू करने के बाद, इसने धीरे-धीरे पोर्टेबल इलेक्ट्रॉनिक उपकरणों की एक पूरी श्रृंखला तैयार की है, जिसमें वीडियो डोरबेल और सुरक्षा कैमरे शामिल हैं।

    Eufy वेबसाइट से लिया गया स्क्रीनशॉट, मालिकों के डेटा की पूरी सुरक्षा का वादा करता है।

    पर एक विज्ञापन में यूफी वेबसाइटकैमरा डेवलपर अधिकतम गोपनीयता की गारंटी देते हैं और क्लाउड का उपयोग नहीं किया जाता है: सभी डेटा को सुरक्षित स्थानीय संग्रहण में रखा जाता है। रिमोट वीडियो सर्विलांस फंक्शन को पूरी तरह से अक्षम किया जा सकता है, लेकिन अगर आप यह देखना चाहते हैं कि आपके घर के अंदर क्या चल रहा है, तो कैमरा वीडियो स्ट्रीम को एन्क्रिप्ट करेगा और इसे आपके स्मार्टफोन पर एक ऐप में भेज देगा – एकमात्र जगह जहां इसे डिक्रिप्ट किया जाएगा। इसे एंड-टू-एंड एन्क्रिप्शन के रूप में जाना जाता है, जिसका अर्थ है कि कोई भी – यहां तक ​​कि विक्रेता भी – डेटा तक नहीं पहुंच सकता है।

    यह भी महत्वपूर्ण है कि पहचान प्रणाली सीधे डिवाइस पर ही काम करती है। प्रत्येक कैमरे में अंतर्निहित एआई कंपनी के सर्वर पर कुछ भी प्रसारित किए बिना फुटेज का विश्लेषण करता है, फ्रेम में लोगों की पहचान करता है, और यहां तक ​​कि अजनबियों से जमींदारों और किरायेदारों को अलग करता है, ताकि कैमरे के मालिक को तभी सूचित किया जा सके जब कोई अपरिचित चेहरा आता है देखने में।

    कुल गोपनीयता – गारंटीकृत। हालाँकि, उपयोगकर्ताओं को हाल ही में थोड़ा आश्चर्य हुआ: यूफी कैमरे पर्दे के पीछे थोड़ा अलग तरीके से काम करते हैं। 23 नवंबर को ब्रिटिश सुरक्षा विशेषज्ञ पॉल मूर ट्वीट किए एक वीडियो Eufy पर क्लाउड पर डेटा संचारित करने का आरोप लगाते हुए — तब भी जब यह विकल्प अक्षम हो।

     

    Eufy कैमरों के डेटा सुरक्षा मुद्दों के बारे में पॉल मूर के ट्वीट्स में से एक।

    मूर का वीडियो समस्या का एक विस्तृत प्रदर्शन देता है, जिसका उन्होंने काफी आसानी से पता लगा लिया। एक यूफी वीडियो डोरबेल स्थापित करने के बाद, पॉल ने डिवाइस के वेब इंटरफेस में लॉग इन किया, जहां उन्होंने ब्राउज़र में स्रोत कोड का विश्लेषण किया और दिखाया कि जब भी कोई फ्रेम में दिखाई देता है तो कैमरा विक्रेता के सर्वर को एक तस्वीर भेजता है। इसका मतलब है कि यूफी की कम से कम एक गारंटी (“कोई बादल नहीं”) सच नहीं है।

    मूर ने फिर कुछ अधिक गंभीर डेटा सुरक्षा मुद्दों के बारे में कई बार ट्वीट किया। जाहिर है, यूफी का “विश्वसनीय” एन्क्रिप्शन उपयोग सभी उपयोगकर्ताओं के लिए समान एक निश्चित कुंजी। इससे भी बदतर, यह कुंजी वास्तव में कंपनी द्वारा पोस्ट किए गए यूफी कोड में दिखाई दी GitHub. बाद में, टेक वेबसाइट कगारमूर और एक अन्य सुरक्षा विशेषज्ञ के संदर्भ में, की पुष्टि की सबसे खराब स्थिति: ऐसा लगता है कि कोई भी ऑनलाइन डिवाइस के एक अद्वितीय पते से कनेक्ट करके वीडियो स्ट्रीम देख सकता है।

    फजी व्याख्या

    यह कहा जाना चाहिए कि क्लाउड पर फुटेज अपलोड करने के पहले मुद्दे के लिए पूरी तरह से तार्किक व्याख्या है। सिद्धांत रूप में, यूफी कैमरे निम्नानुसार काम करते हैं: आप अपने घर में कैमरा स्थापित करते हैं, और ऐप को अपने स्मार्टफ़ोन पर कॉन्फ़िगर करते हैं। जब कोई व्यक्ति स्मार्ट कॉल बटन दबाता है, या पहचान प्रणाली किसी को फ्रेम में दिखाई देती है, तो आपको अपने स्मार्टफ़ोन पर फ़ोटो संलग्न करने के साथ एक सूचना प्राप्त होती है। इस तरह की सूचनाएं भेजने का एकमात्र तरीका सबसे अधिक संभावना क्लाउड के माध्यम से है। लेकिन फिर यूफी ने बादल रहित अनुभव का वादा क्यों किया?

    और वीडियो स्ट्रीम को दूरस्थ रूप से एक्सेस करने योग्य होने के बारे में क्या? कगार और इसके स्रोतों ने समस्या के सभी पहलुओं का खुलासा नहीं किया – इस डर से कि भेद्यता का बड़े पैमाने पर शोषण किया जा सकता है। लेकिन कुछ तथ्य ज्ञात हैं: पहला, वादा किया गया एन्क्रिप्शन वीडियो स्ट्रीम प्रसारित करने के लिए उपयोग नहीं किया जाता है। वास्तव में, स्ट्रीम बिल्कुल भी एन्क्रिप्टेड नहीं है और इसे VLC जैसे नियमित मीडिया प्लेयर का उपयोग करके देखा जा सकता है। दूसरा, किसी विशेष कैमरे तक पहुँचने के लिए, आपको उसका विशिष्ट URL जानने की आवश्यकता है; दूसरे शब्दों में – इंटरनेट पर इसका पता। लेकिन ये पते पूर्वानुमेय तरीके से उत्पन्न होते हैं: डिवाइस के सीरियल नंबर के आधार पर सीधे बॉक्स पर मुद्रित होते हैं, साथ ही वर्तमान दिनांक और समय। उसमें जोड़ा गया (अतिरिक्त “सुरक्षा” के लिए) एक यादृच्छिक चार अंकों की संख्या है, जो क्रूर-बल के लिए आसान है। केवल एक चीज जो कैमरे के मालिक को डिवाइस के सीरियल नंबर जानने वाले हमलावर से बचाती है, वह यह है कि कैमरा लगातार डेटा ऑनलाइन अपलोड नहीं करता है। इसे पहले सक्रिय किया जाना चाहिए, उदाहरण के लिए, डोरबेल बटन दबाकर, जिस क्षण किसी बाहरी व्यक्ति के लिए कनेक्ट करना संभव हो जाता है।

    यूफी के निर्माता एंकर को आरोपों की पुष्टि या खंडन करने के लिए कहा गया था, जिसने केवल पानी को और अधिक खराब कर दिया। जैसा कि नोट किया गया है कगार तथा आर्स टेक्निकाडेवलपर्स ने स्पष्ट रूप से किसी भी सुरक्षा मुद्दों के अस्तित्व से इनकार किया, और विशिष्ट समस्याओं के बारे में पूछे जाने पर, उन्होंने कम से कम दो बयान जारी किए जो बाद में अस्वीकृत हो गए।

    पहले में, कंपनी ने “पुष्टि” की कि कैमरे से लाइव फुटेज देखना संभव नहीं था, लेकिन कगार अपने स्वयं के दो Eufy कैमरों का उपयोग करके ठीक यही किया। दूसरे में, विक्रेता ने स्वीकार किया कि डोरबेल से फुटेज कंपनी के सर्वर पर भेजे जाते हैं, लेकिन केवल यह सुनिश्चित करने के लिए कि वही सूचनाएं स्मार्टफोन पर पहुंचाई जाती हैं, जिसके बाद छवियां हटा दी जाती हैं। लेकिन यह भी था गलत साबित मूर द्वारा ए के माध्यम से सरल परीक्षण: अपने व्यक्तिगत खाते में कैमरे से तस्वीरें देखने के बाद, उसने छवियों के URL सहेजे, फिर उन्हें अपने फ़ोन से हटा दिया। हालाँकि छवियां उनके व्यक्तिगत खाते से गायब हो गईं, मूर ब्राउज़र के एड्रेस बार में सहेजे गए URL दर्ज करके उन्हें एक्सेस करने में सक्षम थे। दूसरे शोधकर्ता आगे चला गया: वीडियो कैमरे का पूर्ण रीसेट करने के बाद, जिसने अपने खाते से सभी सहेजे गए वीडियो हटा दिए, उसने डिवाइस को अपने खाते से दोबारा लिंक किया और देखा… कथित रूप से हटाए गए वीडियो!

    आम तौर पर, सुरक्षा उद्योग के भीतर कुछ नैतिक मानकों का विकास हुआ है, जिसमें कमजोरियों के बारे में जानकारी का खुलासा कैसे किया जाए और विक्रेताओं को कैसे जवाब देना चाहिए। लेकिन यूफी के मामले में, यह सब खिड़की से बाहर चला गया: कंपनी को मुद्दों को ठीक करने का मौका देने के बजाय, शोधकर्ता तुरंत कमजोरियों के साथ सार्वजनिक हो गए। फिर, आग में घी डालने के लिए, कंपनी ने स्पष्ट मुद्दों को नकारना चुना। Eufy ने स्वतंत्र विशेषज्ञों के दावों का खंडन करने के लिए कोई तकनीकी सबूत नहीं दिया, जबकि मूर ने अपनी आपत्तिजनक पोस्ट के बाद एकमात्र बदलाव देखा जो कि कैमरा फ्रेम के लिंक थे, जो पहले HTML में क्लीयरटेक्स्ट में दिखाए गए थे, अब अस्पष्ट थे। यही है, सूचना अभी भी यूफी सर्वर को भेजी जाती है – केवल इसे ट्रेस करना अधिक कठिन हो गया।

    इस प्रकार, विक्रेता ने अपनी वेबसाइट पर एक और वादा तोड़ा, जाहिर तौर पर उम्मीद थी कि कोई भी जांच नहीं करेगा। लेकिन यूफी की यह प्रथा न केवल कंपनी के वादों का उल्लंघन करती है, बल्कि यूरोपीय संघ के जीडीपीआर जैसे क्षेत्रीय उपयोगकर्ता डेटा संरक्षण कानूनों का भी उल्लंघन करती है।

    संरक्षण के तरीके

    Eufy मामला अभी भी युवा है, और अतिरिक्त शोध की आवश्यकता है ताकि निर्णायक रूप से यह साबित किया जा सके कि एक बाहरी व्यक्ति किसी विशेष उपयोगकर्ता या यादृच्छिक एक के आईपी कैमरे से फुटेज को इंटरसेप्ट कर सकता है। हालाँकि, इससे भी गंभीर सुरक्षा मुद्दों के उदाहरण हैं। उदाहरण के लिए, 2021 में, चीनी निर्माता Hikvision के IP कैमरे पाए गए शामिल होना एक गंभीर भेद्यता जिसने हमलावर को डिवाइस पर पूर्ण नियंत्रण दिया। इसे ठीक करने के लिए एक पैच जारी किया गया था, लेकिन एक साल बाद भी दुनिया भर में दसियों हज़ार वीडियो कैमरे अभी भी असुरक्षित थे और किसी भी जिज्ञासु तीसरे पक्ष के लिए सुलभ थे। अफसोस की बात है कि ऐसे उपकरणों के मालिकों को भेद्यता के बारे में पता भी नहीं हो सकता है, जो कि सबसे खराब स्थिति है।

    इसलिए, एक बार फिर हम उन शाश्वत प्रश्नों का सामना कर रहे हैं: किसे दोष देना है और क्या करना है? दुर्भाग्य से, IoT उद्योग शायद ही बिल्कुल मानकीकृत है। आम तौर पर स्वीकृत मानदंड नहीं हैं जो कम से कम न्यूनतम सुरक्षा प्रदान करेंगे, और विक्रेता उपलब्ध संसाधनों और सुरक्षा की अपनी धारणाओं के आधार पर अपने उपकरणों की सुरक्षा करते हैं। किस विक्रेता पर भरोसा करना है यह तय करना उपयोगकर्ता पर निर्भर करता है।

    जैसा आर्स टेक्निका ठीक ही बताते हैं, अगर आपके डिवाइस में लेंस और वाई-फाई है, तो देर-सबेर किसी को इसमें सुरक्षा छेद मिल जाएगा। दिलचस्प बात यह है कि डिज़ाइन के मामले में समान डिवाइस – लैपटॉप और स्मार्टफ़ोन में वेबकैम – बहुत बेहतर संरक्षित हैं: कैमरा उपयोग में होने पर एक संकेतक रोशनी करता है, और सुरक्षा समाधान ऐप्स की निगरानी करें और उस तक अनधिकृत पहुंच को ब्लॉक करें।

    दूसरी ओर आईपी निगरानी कैमरे स्वायत्त रूप से काम करते हैं, कभी-कभी 24/7। काश, जब तक उपकरण सुरक्षा के मूल्यांकन के लिए आम तौर पर स्वीकृत प्रणाली प्रकट नहीं होती, तब तक आपको विक्रेताओं की “गारंटी” पर भरोसा नहीं करना चाहिए, लेकिन अपनी गोपनीयता की रक्षा के लिए अपने स्वयं के कुछ उपाय करें। हम अनुशंसा करते हैं कि किसी भी वीडियो निगरानी प्रणाली के मालिक अपने उपकरणों के साथ सुरक्षा मुद्दों के बारे में समाचारों पर नज़र रखें, कैमरा सेटिंग्स की सावधानीपूर्वक समीक्षा करें, किसी भी अप्रयुक्त क्लाउड सुविधाओं को बंद करें और नियमित रूप से अपडेट इंस्टॉल करें। और अपने घर के अंदर एक वीडियो निगरानी प्रणाली स्थापित करने का निर्णय लेते समय, सभी जोखिमों को तौलें – क्योंकि हैकिंग से संभावित नुकसान स्पष्ट रूप से बहुत बड़ा है।

    Are home video surveillance systems safe, home security systems,home security system,home security,best home security system,video surveillance,best home security system 2022,best home security,best home security systems,surveillance system,home security system 2022,smart home,home security camera system,best security system for home,best wireless home surveillance systems,best wireless video surveillance system,homekit secure video,best home alarm system,home security camera,home surveillance

    close