Så kapades familjernas Ring-övervaknings­kameror

Så här i juletider lär övervakningskameror ligga inpackade under granen hos många familjer. De senaste dagarnas rapportering om kapade övervakningskameror är därför en välbehövlig påminnelse om vikten av säker kamerakonfiguration.

I ett nyhetsinslag från Good Morning America berättar två familjer om hur de blev skrämda av okända röster. Någon hade kapat deras övervakningskameror och pratade ut i hemmen via kamerornas inbyggda högtalare. Kaparna kunde också se vad som hände i hemmen via kamerornas realtidsström och vad som hade hänt historiskt via kamerornas inspelningar.

Kamerorna i fråga är tillverkade av det Amazon-ägda företaget Ring. I ett uttalande från Ring uppger företaget att det inte rör sig om någon attack på Rings kameror eller tjänster. Kamerakaparna hade helt enkelt loggat in med ägarnas användarnamn och lösenord. Dessa inloggningsuppgifter hade kaparna kommit över från andra lösenordsläckor, vilket påminner om vikten av att aldrig återanvända lösenord (framförallt inte till något så säkerhetskritiskt som övervakningstjänster).

Slarv från både användare och Ring

I samma uttalande rekommenderar Ring sina kunder att aktivera tvåstegsverifiering. Då krävs både rätt lösenord och en tidsbegränsad kod för att kunna logga in. Rings tjänst stödjer tyvärr enbart tvåstegsverifiering via SMS (d.v.s. den sämsta tvåstegsverifieringsmetoden), men tvåstegsverifiering via SMS ger åtminstone bättre skydd än ett ensamt lösenord.

Säkerhetsinställningar för Ring-konto
Aktivera tvåstegsverifiering via Rings webbgränssnitt eller app.

Med det sagt är Ring långt ifrån skuldfria till den uppkomna situationen. Genom att tillhandahålla en så säkerhetskritisk tjänst borde de ha tvingat fram högre säkerhet än ett ensamt lösenord. I en granskning från webbtidningen Vice visar det sig även att Rings autentiseringslösning är lång ifrån ändamålsenlig. Ring meddelar inte användaren ifall någon loggar in med samma konto från en ny enhet. De kontrollerar inte heller ifall samma användare loggar in från olika delar av världen. De har till och med missat att begränsa antalet inloggningsförsök, så att det är fritt fram för angripare att testa potentiella lösenord.

Som grädde på moset delar Ring med sig av utdömda och kontraproduktiva säkerhetstips. De skriver att det är god praxis att byta lösenord var tredje till sjätte månad. Detta stämmer inte (läs mer i Bli säker-boken). De rekommenderar även att använda lösenord med flera teckentyper, något som är helt onödigt om lösenordet är tillräckligt långt.

Rätt rekommendation

Alla dessa problem innebär dock inte att Rings kameror är osäkra. Kapningarna beror trots allt på slarv, vilket går att kompensera för. I avsnitt 10 och avsnitt 45 av Bli säker-podden diskuterade vi säker kameraövervakning av hemmet. Lyssna på dessa avsnitt för mer information om val av övervakningskameror och hur övervakningslösningar hålls säkra.

Här följer fem sammanfattande tips för vanliga konsumentkameror.

  • Välj ett starkt lösenord som du inte använder någon annanstans.
  • Aktivera tvåstegsverifiering om kameratillverkarens övervakningstjänst stödjer det.
  • Uppdatera kameran så fort det finns nyare mjukvara (firmware). Aktivera automatiska uppdateringar om kameran stödjer det.
  • Byt ut kameran när den inte längre får säkerhetsuppdateringar från tillverkaren.
  • Använd inga konsumentkameror som kräver att du loggar in i din router och öppnar portar. Lämna tillbaka sådana kameror och välj en annan modell.