Olbrzymia wpadka Ubiquiti: można było podejrzeć cudze kamery i zarządzać cudzymi sieciami

223

W środę, przez 9 godzin, część użytkowników Ubiquiti, uzyskiwało dostęp nie tylko do swoich, ale też do cudzych urządzeń i sieci. Inni, korzystający z aplikacji mobilnej “Unifi Protect” (służącej do obsługi kamer Ubiquiti) odbierali powiadomienia o ruchu pochodzące z nieswoich kamer. Wraz ze stopklatkami, co mocno naruszyło prywatoność niektórych osób…

Zarządzanie przez chmurę…

Ubiquiti to bardzo popularny producent sprzętu sieciowego, z którego chętnie korzystają zarówno firmy jak i bardziej zaawansowane osoby prywatne. Ich rozwiązania są obecne w olbrzymiej liczbie polskich i zagranicznych hoteli, kawiarnii czy restauracji — zapewne kojarzycie te białe dyski ze świecącym okręgiem w środku. Ubiquiti jest wybierane głównie dlatego, że to solidny i tani sprzęt, którym da się nimi zarządzać przez chmurę, a switche, access pointy, kamery, telefony VoIP, czujniki kontroli dostępu do drzwi oraz inne urządzenia z linii Unifi automatycznie się ze sobą komunikują i bardzo łatwo się je konfiguruje i nimi zarządza.

Jak to zwykle bywa, za źle wdrożony zdalny dostęp trzeba zapłacić bolesną cenę. Jako pierwszy, o problemie poinformował jeden z użytkowników z Niemiec:

Recently, my wife received a notification from UniFi Protect, which included an image from a security camera. However, here’s the twist – this camera doesn’t belong to us.

W odpowiedziach na jego post są relacje od innych użytkowników, którzy logując się na swoje konto Ubiquiti zobaczyli cudze konsole (czyli kontrolery, dzięki którym można rekonfigurować całą sieć). Jedna z osób aż 88 cudzych konsol!


I navigated to unifi.ui.com this morning, I was logged into someone else’s account completely! It had my email on the top right, but someone else’s UDM Pro! I could navigate the device, view, and change settings! Terrifying!!

Koszmar dla prywatności

Dostęp do kontrolera pozwala nie tylko na zniszczenie czy wrogie “podsłuchiwanie” niezaszyfrowanego ruchu w cudzej sieci. To także możliwość:

  • podglądania kamer monitoringu,
  • blokowania dostępu do pomieszczeń
  • przejmowania połączeń telefonicznych
Więcej od autora
1 z 169

Generalnie, gorzej się nie da. Użytkownicy informowali, że wylogowanie lub wyczyszczenie ciasteczek pomagało i zaczynali widzieć swoją infrastrukturę. Inni żartowali, że od teraz “muszą chyba przestać chodzić nago po domu” skoro ich kamerę może przez przypadek zobaczyć inny użytkownik z drugiego końca świata.

Żarty to małośmieszne, bo kamery Ubiquity są wyposażone także w mikrofony, więc wcale nie trzeba chodzić nago po domu, aby ktoś zapoznał się z czymś, z czym nie powinien.

Szybka reakcja producenta

Szczęście w nieszczęściu, producent nie udawał, że problemu nie ma. Szybko zaczął analizować problem i po kilku godzinach opublikował następujące oświadczenie:

We were made aware of a small number of instances where users received push notifications on their mobile devices that appeared to come from unknown consoles, or where such users were able to access consoles that didn’t appear to be their own. This issue was caused by an upgrade to our UniFi Cloud infrastructure, which we have since solved. What happened? 1,216 Ubiquiti accounts (“Group 1”) were improperly associated with a separate group of 1,177 Ubiquiti accounts (“Group 2”). When did this happen? December 13, from 6:47 AM to 3:45 PM UTC. How many Accounts from Group 1 Were Actually Improperly Accessed by a User from Group 2? We are still investigating but we believe less than a dozen.

Firma obiecała też, że wyśle e-maila do każdego klienta z Grupy 1, którego konsola lub powiadomienia zostały podejrzane przez innego użytkownika. Życzymy Wam braku takiej wiadomości.

Mam Ubiquiti — co robić, jak żyć?

Ten incydent pokazuje, że zarządzanie przez chmurę nawet w tak doświadczonej filmie jak Ubiquiti może kuleć. Na szczęście rozwiązanie tego problemu jest proste — wyłączenie zarządzania zdalnego, czyli możliwości “wejścia” na swoją konsolę przez chmurę Ubiquiti.

Aby móc dalej zdalnie sterować swoją siecią trzeba będzie dostać się do konsoli z pominięciem chmury, np. poprzez skonfigurowanie VPN-a (Unify OS oferuje Wireguarda).

Niestety, odcięcie od chmury oznacza też pożegnanie się z wygodną aplikacją mobilną do obsługi kamer “Protect” i jej powiadomieniami. Nie będziecie już informowani o wykryciu ruchu w objętym monitoringiem pomieszczeniu. Coś za coś.

Niektórzy próbują te braki w obsłudze zdalnej kamer łatać przy pomocy integracji z HomeAssistantem, ale integracja nie pozwala na dostęp do “mikrofonu” ani zdalne odtwarzanie historycznych nagrań z kamer. No ale albo wygodne, nieszyfrowane pusze ze stopklatkami, które ktoś może przez pomyłkę otrzymać, albo męka z Home Assistantem i okrojona do minimum funkcjonalność.

Źródło: niebezpiecznik
Komentarz