Apakah kamera pintu video Anda mirip dengan yang ada di gambar? Mungkin Anda membelinya dengan harga murah di Amazon, Temu, Shein, Sears, atau Walmart? Apakah kamera tersebut menggunakan aplikasi Aiwit? Consumer Reports melaporkan bahwa keamanan pada kamera-kamera ini sangat lemah, siapapun bisa mendatangi rumah Anda, mengambil alih bel pintu Anda, dan secara permanen mendapatkan akses ke gambar diam yang direkamnya — bahkan jika Anda mengambil kembali kendali. Kamera-kamera ini dijual oleh perusahaan Tiongkok bernama Eken di bawah setidaknya sepuluh merek berbeda, termasuk Aiwit, Andoe, Eken, Fishbot, Gemee, Luckwolf, Rakeblue, dan Tuck. Consumer Reports mengatakan bahwa pasar online seperti Amazon menjual ribuan unit kamera ini setiap bulan. Beberapa di antaranya bahkan telah memperoleh label Amazon’s Choice, segel persetujuan yang meragukan.
Namun, Amazon bahkan tidak merespons temuan Consumer Reports yang terakhir kami dengar, apalagi menarik kamera-kamera tersebut dari rak-rak virtualnya. Berikut salah satunya yang sedang dijual sekarang. Aplikasi belanja Temu, setidaknya, mengatakan kepada CR bahwa akan menghentikan penjualan setelah mendengar betapa mudahnya kamera-kamera ini diretas. Sebenarnya, “meretas” mungkin terlalu kuat sebagai kata
Bukan hanya itu, kamera-kamera ini dilaporkan mengekspos alamat IP dan jaringan Wi-Fi Anda secara terang-terangan kepada siapa pun yang dapat mengintersep lalu lintas jaringan Anda (harap Anda tidak memeriksanya di Wi-Fi publik!), mereka dilaporkan menyiarkan snapshot halaman depan Anda ke server-web yang tidak meminta nama pengguna atau kata sandi. Seorang staf keamanan Consumer Reports dapat dengan mudah mengakses gambar wajah koleganya dari kamera Eken di sisi lain negara, hanya dengan mencari tahu URL yang tepat.
Lebih buruknya, yang dibutuhkan oleh penjahat adalah nomor seri kamera Anda untuk menemukan alamat web tersebut. Bahkan lebih buruk, seorang penjahat bisa mendapatkan nomor seri itu dengan hanya menahan tombol bel pintu Anda selama delapan detik, kemudian memasangkan kamera Anda dengan akun mereka di aplikasi smartphone Aiwit. Dan sampai Anda mengambil kembali kendali atas kamera Anda sendiri, mereka akan mendapatkan video dan audio juga. Lebih buruk lagi, penjahat itu kemudian bisa membagikan nomor-nomor seri tersebut kepada siapa saja di internet. Consumer Reports memberitahu kami bahwa begitu nomor seri itu tersebar di masyarakat, seorang penjahat bisa menulis skrip yang hanya akan terus mengunduh gambar-gambar baru yang dihasilkan oleh kamera.
“Privasi Anda adalah sesuatu yang kami hargai sebanyak yang Anda lakukan,” demikian tertulis di situs web kamera pintu video Eken. Gambar: Eken
Anda mungkin mengatakan “Nah, kamera-kamera ini hanya menghadap ke luar dan saya tidak peduli tentang itu,” tetapi Eken juga mengiklankan kamera menghadap ke dalam. (Consumer Reports memberitahu kami bahwa mereka belum menguji model-model Eken lainnya.) Saya juga benar-benar tidak ingin penjahat tahu tepat kapan saya meninggalkan rumah.
Anda mungkin mengatakan “Ah, ini bukan ancaman besar karena penjahat memerlukan akses lokal ke kamera” — tetapi itu mengasumsikan bahwa mereka tidak bisa menemukan cara untuk secara acak menemukan nomor seri yang berfungsi, atau merekrut pencuri halaman depan untuk merambah lingkungan. Setidaknya nomor seri tampaknya diacak, bukan berurutan, Consumer Reports memberitahu kami. Anda juga mungkin mengatakan “Apakah Eken tidak akan berhenti menyimpan gambar-gambar ini di URL yang dapat diakses secara bebas?” Itu akan baik, tetapi sepertinya tidak mau repot untuk merespons permintaan Consumer Reports untuk komentar.
Apakah server Aiwit melakukan sesuatu untuk mencegah peretas hanya secara acak mencoba URL sampai menemukan gambar dari kamera orang? Jika ya, Consumer Reports belum melihatnya.
“Kami telah melakukan puluhan ribu permintaan tanpa mekanisme pertahanan yang dipicu,” kata insinyur privasi dan keamanan Consumer Reports Steve Blair kepada The Verge melalui juru bicara. “Faktanya, saya sengaja berisik (ratusan permintaan sekaligus, dari satu IP/sumber, diulang setiap beberapa menit) untuk mencoba menentukan apakah ada pertahanan. Saya tidak melihat batasan apa pun.” Setidaknya Consumer Reports belum menyarankan bahwa ini telah dieksploitasi di dunia nyata.
Kami tidak secara independen mengonfirmasi kerentanan ini, tetapi kami membaca laporan kerentanan yang dibagikan oleh CR dengan Eken dan merek lain bernama Tuck. Dan ini bukanlah kali pertama perusahaan kamera “keamanan” mengabaikan praktik keamanan dasar dan menyesatkan pelanggan. Eken menjual berbagai macam kamera pintu video di bawah berbagai merek yang lebih luas lagi. Consumer Reports menunjukkan bahwa tombol-tombol dan jarak sensor serupa, meskipun. Gambar: Eken
Anker mengakui bahwa kamera-kamera Eufy yang selalu terenkripsi tidak selalu terenkripsi setelah saya dan rekan-rekan saya dapat mengakses siaran langsung tanpa enkripsi dari seberang negara, menggunakan alamat yang, seperti Eken, terutama terdiri dari nomor seri kamera. Sementara itu, Wyze baru-baru ini membiarkan setidaknya 13.000 pelanggan sejenak melihat properti orang asing — kali kedua mereka melakukannya — dengan mengirimkan feed kamera ke pengguna yang salah. Dan itu setelah perusahaan tersebut menyembunyikan kerentanan keamanan yang berbeda selama tiga tahun penuh.
Namun, kerentanan Eken mungkin bahkan lebih buruk, karena terdengar jauh lebih mudah untuk dieksploitasi, dan karena mereka di-label putih di bawah begitu banyak merek yang berbeda sehingga lebih sulit untuk memprotes atau mengawasi. Consumer Reports mengatakan bahwa bahkan setelah Temu menarik beberapa bel pintu yang mengkhawatirkan, mereka tetap menjual yang lain — dan bahwa pada akhir Februari, meskipun peringatan mereka kepada pengecer, sebagian besar produk yang mereka temukan masih dijual.