DAJ CYNK

Pułapka na Temu. Kto kupił, ten mógł być stale podglądany - aktualizacja

Dominik Krawczyk

Bezpieczeństwo

Pułapka na Temu. Kto kupił, ten mógł być stale podglądany

Wideodomofony marki Eken, sprzedawane pod różnymi nazwami na Temu i u lokalnych importerów, mogą stanowić poważne zagrożenie dla użytkowników – alarmuje organizacja Consumer Reports. 

Dalsza część tekstu pod wideo
 

Ujawnienie luk bezpieczeństwa w którymś z tanich urządzeń smart nie jest niczym szczególnym, ale w przypadku marki Eken podatności okazały się na tyle poważne, że mógł z nich skorzystać dosłownie każdy. Nawet bez żadnej wiedzy w temacie łamania zabezpieczeń. Wystarczył smartfon.

Jak zostało dowiedzione przez amerykańską organizację pro-konsumencką Consumer Reports, wideodomofony rzeczonego producenta w ogóle nie były zabezpieczone przed fizyczną ingerencją. Jeśli więc napastnik zainstalowałby w telefonie dedykowaną im aplikację Aiwit, po czym podszedł do urządzenia, umieszczonego na przykład na przydomowej bramie, to mógł bez trudu sparować swój smartfon z cudzą kamerą.

Przeprowadzenie ataku wymagało jedynie znajomości numeru seryjnego, a ten widnieje na obudowie. W dodatku tym samym napastnik otrzymywał dostęp nie tylko do strumienia obrazu, ale też pewnych danych sieci Wi-Fi – tłumaczy CR. 

Zagrożone wideodomofony dostępne były pod kilkoma różnymi nazwami. Nie tylko jako Eken, ale m.in. także Tuck, Fishbot, Rakeblue, Andoe, Gemee oraz Luckwolf. Głównie na chińskich platformach e-commerce, takich jak Temu czy AliExpress, ale też za pośrednictwem importerów, którzy sprzedawali je chociażby na Amazonie. 

Dobra wiadomość jest taka, że producent ponoć wziął sobie zarzuty do serca i wraz z aktualizacją numer 2.4.1 błąd usunął. Do tego wszystkie podłączone egzemplarze zostały zaktualizowane automatycznie, przez co CR usunęło produkty Eken z listy ostrzeżeń. Nie wiadomo jednak, ilu podglądaczy w międzyczasie zdołało skorzystać z podatności. Sama sprzedaż wadliwych urządzeń szła w miliony sztuk.


Aktualizacja (09.05.2024)

Do artykułu odniósł się polski oddział Temu. W przesłanym oświadczeniu docenia misję takich organizacji jak Consumer Reports, a jednocześnie zachęca do kontaktu z obsługą klienta przez całą dobę w 7 dni tygodniu, w razie zauważonych nieprawidłowości. Wymienia też, jakie czynności Temu zrealizował po zgłoszeniu problemu z kamerami.

Po otrzymaniu pierwszego ostrzeżenia od Consumer Reports 5 lutego podjęliśmy natychmiastowe działania, wstrzymując sprzedaż zidentyfikowanych modeli kamer dzwonkowych marek Tuck i Eken. Rozpoczęliśmy dokładny przegląd tych produktów, aby zapewnić ich zgodność z przepisami FCC i innymi odpowiednimi normami.

Prowadzimy również przegląd podobnych produktów, aby upewnić się, że spełniają wszystkie niezbędne wymagania. Po otrzymaniu dodatkowych informacji 28 lutego dotyczących luk w zabezpieczeniach produktów korzystających z aplikacji Aiwit i wyprodukowanych przez Eken Group Ltd, podjęliśmy szybkie działania i usunęliśmy wszystkie powiązane produkty z naszej platformy.
Wymagamy od wszystkich sprzedawców na naszej platformie pełnego przestrzegania praw i przepisów obowiązujących na rynkach, na których sprzedają, w tym dostarczania niezbędnej dokumentacji produktu. Aby egzekwować tę politykę, regularnie przeprowadzamy wyrywkowe kontrole w naszych stowarzyszonych magazynach.

Nasze systemy aktywnie monitorują oferty i szybko usuwają produkty niezgodne z wymaganiami. Posiadamy również mechanizm raportowania, który oznacza wszelkie skargi w celu natychmiastowego podjęcia działań, a także aktywnie monitorujemy opinie konsumentów w celu identyfikacji potencjalnych problemów. Pomimo tego, że jesteśmy stosunkowo młodą firmą, stale inwestujemy i wzmacniamy nasze systemy compliance, aby zapewnić najwyższe standardy. Bezpieczeństwo i prywatność konsumentów to nasze najważniejsze priorytety, dlatego też pilnie zajmujemy się wszelkimi potencjalnymi problemami związanymi z przestrzeganiem przepisów.

- czytamy w oświadczeniu Temu

 

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Shutterstock

Źródło tekstu: HVG, oprac. własne