A biztonsági kamerák elvben arra lennének jók, hogy megóvják az emberek vagyonát a rossz szándékú betolakodóktól. A magyar Aldi által is kínált biztonsági kamerák rendszerén azonban azonosítottak egy biztonsági lyukat: a kamera gyári beállítások mellett a felhasználó tudta nélkül valós idejű képeket streamel az internetre, és a kamera biztonsági jelszava (wifikód stb.), valamint adott esetben a felhasználó egyéb digitális adatai is lehalászhatóak ezen keresztül.

Az érintett modellek a Maginon termékei (IPC-10AC, IPC-100AC, IPC-20 AC): ezeket a német Aldi Nord és Aldi Süd üzleteiben, valamint az osztrák Hofer boltjaiban is árulták – és mint utánanéztünk, az IPC-100 AC beltéri és az IPC-20AC kültéri kamerák a magyar Aldi tavalyi kínálatában is megjelentek, utóbbit most is megtaláltuk az egyik budapesti üzletben.

Youtube

Aki megváltoztatja a kamera jelszavát, az nem kerülhet bajba, mindenki más viszont igen, miután a készülék vezérlését végző firmware gyárilag úgy lett beállítva, hogy amikor az IP- kamera a wifire rácsatlakozik, a routerben automatikusan az internet is megnyílik, anélkül, hogy a felhasználó ebből bármit is észrevenne. Mivel nincs jelszóval levédve, az interneten keresztül a kamera képe és hangja is leszedhető, és mivel a készülékek körbeforognak, még a helyiségben is körül lehet nézni az interneten keresztül.

Ehhez még hozzájön az is, hogy minden olyan adat leolvasható az interneten keresztül, amit a konfigurációhoz használtak – ha például beállították az automatikus üzenetküldést, akkor a felhasználó emailjének belépő adatai is. További probléma, hogy a kamera bekapcsoláskor automatikusan nem keres szoftverfrissítést: így épp azoknál, akik nem szokták megváltoztatni az alapértelmezett jelszavakat, igencsak valószínűtlen, hogy maguktól update-elik a szoftvert.

És valóban: a Heise felmérése szerint még mindig több száz olyan kamera van, melyek miden további nélkül lövik fel a képeiket az internetre. Akik nem állítottak be saját jelszót, azok a mellékelt szoftver segítségével indítsák el a frissítést, és a biztonság kedvéért válasszanak új jelszót, nyilvános hálózaton keresztül pedig ne kapcsolódjanak a kamerához – tanácsolta a témát feldolgó Stern.de szakértője.

Az Aldi állítja: a decemberben értékesített kamerákban már nem volt biztonsági rés

Megkerestük az Aldi magyarországi leányvállalatát, azt állították, hogy a cég Magyarországon utoljára 2015 decemberében kínált Maginon márkájú, IP-alapú biztonsági kamerákat. „Az időközben bekövetkezett firmware frissítés következtében a decemberi értékesítés kezdetekor nem állt fenn olyan biztonsági rés, amely révén illetéktelenek távolról hozzáférhettek volna a kamera által rögzített képhez, illetve hanghoz. A felhasználónak a kamera üzembe helyezésekor új jelszót kell megadnia, enélkül a kamera nem használható. A korábban értékesített kamerákhoz is elérhető ez a firmware frissítés, a kamerák felhasználói a program, vagy az applikáció megnyitása során automatikus értesítést kapnak, amely egyértelműen arra kéri őket, hogy egyéni jelszót adjanak meg a kamerához, amelynek beállításával valamennyi kamera biztonságosan használható.”