Det tidigare Netgear-ägda bolaget Arlo tillverkar övervakningskameror för privatpersoner som vill övervaka sina hem. Arlo-kamerorna har blivit mycket populära i Sverige, inte minst på grund av deras helt trådlösa och batteridrivna konstruktion. Kamerorna har blivit positivt omtalade i Bli säker-podden eftersom de är lätta att installera utan risk för felkonfiguration. En av modellerna har också säkerhetsgranskas av oberoende AV-test med gott resultat.
Säkerhetsbrister funna
De flesta Arlo-kameror ansluter trådlöst till en basstation som i sin tur är kopplad till hemmets nätverk. I den basstationen har säkerhetsföretaget Tenable hittat två säkerhetsbrister som kan ge obehöriga personer tillgång till hemmets kameror. Den ena säkerhetsbristen kräver fysisk tillgång till själva basstationen och den andra kräver tillgång till det lokala nätverket. Ingen av säkerhetsbristerna går således att utnyttja över internet, vilket minimerar risken för kamerorna kapas via de annars allvarliga säkerhetsbristerna.
Uppdatering åtgärdar bristerna automatiskt
Arlo har släppt en uppdatering som åtgärdar säkerhetsbristerna. I ett officiellt blogginlägg berättar Arlo att de har skickat ut uppdateringen automatiskt och att den inte kräver någon manuell handpåläggning. Automatiskt uppdateringsförfarande är starkt rekommenderat och om alla tillverkare av smarta hem-prylar hade anammat uppdateringsmetoden hade mängden osäkra och sårbara prylar minskat drastiskt.
Arlo har fortfarande förbättringspotential på säkerhetsfronten. De hade exempelvis kunnat reagera snabbare på Tenables rapport (se ärendehistoriken hos Tenable). Arlo saknar också en officiell end-of-life-policy för vad som händer dagen då de slutar underhålla produkterna. Med den brasklappen har Arlo ändå tagit ett bra steg i rätt riktning gällande underhållet av övervakningskameror – och det var det steget som räddade dem den här gången.
Källa: Tenable (via Threatpost)
Referensmaterial
- CVE-2019-3949 (detaljer ej publicerade än)
- CVE-2019-3950 (detaljer ej publicerade än)
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.