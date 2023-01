Laite on nyt vedetty pois Prismoista, mutta sitä on vielä myynnissä pienemmissä kaupoissa.

Suomessa myydään nettikameraa, jossa on vakava haavoittuvuus. Tietoturvatutkija ja valkohattuhakkeri Jarkko Vesiluoman mukaan kyse on laitteen ohjelmiston kehittäjän tarkoituksellisesti jättämästä aukosta eli takaovesta.

Takaovi on nimensä mukaisesti laitteeseen tai ohjelmaan jätetty aukko, joka mahdollistaa ohjaamisen ja tietojen varastamisen ulkopuolelta käsin.

SWM Base -kameraa on myyty muun muassa älykotiturvajärjestelmän starttipaketin osana.

80–100 euroa maksavaa SWM Base -ip-kameraa on myyty Suomessa muun muassa Prismoissa sekä useammissa pienissä liikkeissä. Laitetta myytiin muun muassa 76 Prisma-myymälässä asian tullessa Ilta-Sanomat Digitodayn tietoon.

Webbikamerassa on tavalliseen tapaan pääkäyttäjän tili, jolla on kaikki käyttöoikeudet laitteeseen. Vesiluoma kertoo murtaneensa salasanan näytönohjainavusteisella laskennalla ja todentaneensa, että ulkopuolelta käsin voi hallinnoida kameraa täysin. Sama salasana on käytössä kaikissa kyseisen mallin kameroissa, joten kaikki sen tietävät voivat päästä kameraan kiinni.

Takaisinmallintamalla laitteen toimintaa Vesiluoma totesi, että pääkäyttäjän tiliin pääsee käsiksi lähettämällä sille ulkoapäin tietty tekstimuotoinen komento. Kameran haltuunotto mahdollistaa niin salakatselun kuin jatkohyökkäykset.

– Mikäli kamera on suoraan julkisessa verkossa kiinni, niin hyökkääjä pääsee esimerkiksi jatkamaan kameran kautta hyökkäystä eteenpäin uhrin sisäverkkoon tai katsomaan kameran lähettämää kuvaa. Hyökkääjä saa kameran täysin hallintaansa, Vesiluoma kertoo.

Avoimet kamerat muodostavat käyttäjälleen uhkan kahdelta taholta: laitteen valmistaja tai tämän kanssa yhteistyössä oleva taho voi ottaa kameran haltuunsa, mutta näin voi tehdä myös verkkorikollinen, jolla on tietoa haavoittuvuudesta. Jälkimmäinen on yleinen tapa, jolla verkkorikolliset rakentavat muun muassa palvelunestohyökkäyksissä käytettäviä bottiverkkoja.

Vesiluoman tekemän laitehaun perusteella Suomessa oli tammikuun puolessa välissä käytössä ainakin 84 haavoittuvaa kameraa.

Kamerassa ei ole ohjelmiston päivitysmahdollisuutta. Vesiluoman mukaan SWM Basessa kysymys on samasta, mutta uudelleenbrändätystä laitteesta, jollaista on myyty maailmalla jo aikaisemmin. Laitteita yhdistää kiinalaisen Xiaongmain laiteohjelmisto. Samaa ohjelmistoa voi löytyä muistakin Suomessa myytävistä ip-kameroista.

Vesiluoma mursi kameran pääkäyttäjän salasanan alle 10 minuutissa käyttämällä laskennassa apuna tietokoneen näytönohjainta. Kuva laskentaprosessista.

Vesiluoman mukaan on perusteltua kysyä, onko haavoittuvuus huonon suunnittelun tai kehityksen seurausta vai tarkoituksellista.

– Jostain syystä näitä kovakoodattuja tunnuksia ja takaovia tuntuu löytyvän nimenomaan kiinalaisten valmistajien kameroista paljon. Mistä kuluttaja voi tietää, onko laite turvallinen vai ei?

Vesiluoma sanoo ihmettelevänsä myös sitä, miksei maahantuojilla ole vaatimusta selvittää tuotteen tietoturvan tilaa ennen kuin se laitetaan myyntiin.

– Kaikenlaisia verkkolaitteita tulee koko ajan enemmän ja enemmän myyntiin, mutta niiden tietoturvan taso ei monesti kestä tarkistelua, Vesiluoma sanoo.

Myyntipäällikkö Marko Väänänen SOK Marketkaupan ketjuohjauksesta vastasi IS Digitodayn kysymyksiin haavoittuvien laitteiden päätymisestä myyntiin Prismoissa.

SWM BASE -kameraa oli myynnissä Prismoissa, kun Vesiluoma teki havaintonsa. Se on nyt vedetty myynnistä. Pienemmissä liikkeissä sitä saattaa kuitenkin vielä olla.

Paljonko laitteita on myyty?

– Tuotetta on myyty viimeisen kolmen vuoden aikana kohtuullisen vähän, joitain kymmeniä kappaleita.

Miten aiotte menetellä kaupoissa olevien laitteiden suhteen?

– Olemme ottaneet tuotteet pois myynnistä sekä verkkokaupasta että myymälöistä tarkemman selvityksen ajaksi.

Entäpä jo myytyjen laitteiden?

– Tuotteen voi palauttaa ostamaansa myymälään, vaikka takuuaika on mennyt umpeen. Hyvitämme tuotteen asiakkaalle.

Miten S-ryhmä varmentaa verkkoon kytkettävien laitteiden turvallisuuden ja luotettavuuden ennen niiden ottamista valikoimiin?

– Tuotteet tulevat meille myyntiin suoraan maahantuojalta, joka vastaa, että tuotetta on teknillisesti turvallista käyttää ja tuote vastaa sille määriteltyjä asetuksia. Tuotteet käydään yhdessä tavarantoimittajan kanssa läpi ennen kuin ne tulevat valikoimaan.

SWM Base -kameraa maahantuovan Turvakaupan toimitusjohtaja Jani Rämänen sanoo yhtiön saaneen yhteydenoton Vesiluomalta ja aloittaneen sisäisen selvityksen asiasta. Siihen kuuluu muun muassa selvityspyyntö valmistajalle.

Rämänen sanoo Turvakaupan keskeyttäneen laitteen myynnin, mutta näillä näkymin sitä ei olla keräämässä asiakkailta pois. Tämä pohjautuu asiantuntijan kanssa käytyyn keskusteluun riskin todennäköisyydestä ja vakavuudesta.

Päätös laitteen maahantuonnista tehtiin vuonna 2018. Sen yhteydessä tarkistettiin, että laitteen oletussalasana on vaihdettavissa ja se on käytettävissä suojatussa wifi-verkossa.

– Olemme PK-yritys ja meillä on rajalliset resurssit tutkia verkkoon kytkettävien laitteiden toimivuuksia. Maailma on mielestämme hyvin eri näköinen, kuin mitä se oli vuonna 2018. Tämän vuoksi suhtaudumme nyt erittäin kriittisesti niiden markkinoille tuontiin, Rämänen sanoo puhelimitse.

Kameran ulko- ja sisämallia on myyty Suomessa yhteensä noin 1300 kappaletta. Turvakauppa ei ole toimittanut jälleenmyyjille kameran sisämallia syyskuun 2022 eikä ulkokameraa marraskuun 2021 jälkeen.

Rämänen sanoo pitävänsä hyvänä käytäntöä, jossa myyntiin tulevien laitteiden turvallisuus tutkittaisiin etukäteen. Hän ei ota kantaa, mille taholle tehtävän tulisi kuulua. Hän huomauttaa webbikameran tulleen markkinoille ennen Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen Tietoturvamerkin käyttöönottoa.

Hän muistuttaa myös, että kaikkia verkkoon kytkeytyviä laitteita käyttöön otettaessa oletussalasanat tulisi vaihtaa.