Xiaomi: beveiligingsprobleem met integratie Google Nest Hub is opgelost

Xiaomi heeft de problemen met zijn slimme Mi Home-camera waarbij gebruikers beelden van anderen te zien kregen op hun Google Nest Hub, permanent gerepareerd. Eerder had Google uit voorzorg integratie met de Assistant uitgeschakeld.

De Chinese fabrikant heeft in een statement aan XDA Developers te kennen gegeven dat de problemen met de Google Nest Hub zijn opgelost. Er is een permanente oplossing gevonden voor de bug, waarbij beelden van schijnbaar willekeurige mensen te zien waren op de Nest Hub wanneer de gebruiker de videostream van de Mi Home wilde aanzetten.

De mogelijkheid om de slimme camera van Xiaomi te gebruiken met Google Assistant was al eerder weer ingeschakeld, maar een permanente oplossing was nog niet gevonden. Nu dus wel, al wil de fabrikant niet aangeven wat er precies is aangepast. Eerder gaf Xiaomi aan dat het probleem in het cachen van videobeelden zat.

Begin deze maand kwam het beveiligingslek in de Mi Home naar buiten, waarop Google het onmogelijk maakte om de camera met Assistant te gebruiken totdat er een oplossing was gevonden. In een statement gaf Xiaomi aan dat het slechts een klein aantal gebruikers betrof.

Xiaomi-stream op Nest Hub — Afbeelding: reddit-gebruiker /u/Dio-V

Reacties (21)

Stangg

18 januari 2020 11:06

Dit zijn toch serieuze fouten, en de te-bedenken privacy schending-scenarios zijn niet van de lucht.

Toch gebruikt het artikel een positief woord als "slimme camera"; een marketing-uitvinding die bedoeld is om een positieve spin te geven aan een onacceptabel gebruik.

Waarom is dit eigenlijke een "slimme" camera? Is het niet gewoon een domme camera met idiote misbruik-opties?
https://www.vpro.nl/progr...20/de-grote-dataroof.html

Coolstart @Stangg • 18 januari 2020 11:28

Als het effectief cashing is, is het geen echte data breach. Maar goed, wat er achter de schermen gebeurd met uw cloudbeelden is vaak heel erg onduidelijk en al helemaal bij een Chinees merk. Al helpt GDPR u wel natuurlijk door fabrikanten te verplichten cloud data in de EU op te slaan.

Leg dan uw Android slimme telefoon ook maar in de schuif want daar zitten nog meer sensoren in, rechtstreeks verbonden met Google diensten, (mail, foto,contacten, locatie..) services die Android gratis weggeeft en tegelijk al zijn miljarden verdient ads —> leg zelf de link maar.

En toch vinden mensen dat niet zo erg. In tegendeel. Het marktaandeel van Google smartphones (en nu dus ook camera’s) is gigantisch. 90% van het land loopt ermee rond.

Microsoft W10 mobile is ook verdwenen en het enige deftige en privacy vriendelijke OS is iOS van Apple. En dan is maar de vraag of je hier ontsnapt aan de kluwen van FB en Google want whatsapp is bijvoorbeeld ook van Facebook en dat staat ook op bijna elke Iphone.

[Reactie gewijzigd door Coolstart op 23 juli 2024 18:17]

rdfeij @Coolstart • 18 januari 2020 14:55

Een Chinees bedrijf heeft lak aan de GDPR.
Pas op het moment dat er Europese kantoren/verkooppunten aan te pas kunnen ze worden "verplicht"
En zolang wij via Ali blijven kopen en niet in een Europese winkel kun je er never nooit vanuit gaan dat je product/het bedrijf voldoet.
Hetzelfde met het CE logo wat al actief 'misbruikt' wordt om producten er gekeurd uit te laten zien:
CE-markering of China Export?

Het cachen van beelden klinkt mij (werkzaam op cctv gebied) eng in de oren. Er is totaal geen reden om beelden te cachen. De slimmigheden (die bij deze camera echt niet zo heel bijzonder zijn) worden in de camera afgehandeld. Daar is geen server cache voor nodig. Een cloudoplossing hoeft ook niets te cachen en zorgt alleen maar dat je remote bij je beelden kunt zonder portforwardings open te hoeven zetten.
De enige reden voor cachen die ik kan bedenken is om de beelden zelf ook nog eens serverside te 'analyseren'. Met welke doeleinden laat ik dan maar even in het midden.

[Reactie gewijzigd door rdfeij op 23 juli 2024 18:17]

Ultrapc @rdfeij • 18 januari 2020 16:51

Het spijt me, maar als iemand die werkzaam is in de sector (zowel beeldanalyserende camerasystemen als websites komen voorbij) heb ik toch wat op te merken:

Eerst de CE / China Export opmerking; het is een verhaal dat ik al tijden hoor (dit artikeltje uit 2010 heeft het er al over) maar nog nooit in het echt tegen ben gekomen. Ook als het echte CE logo met goede afstanden op mijn AliExpress product zou staan zou ik er sceptisch over zijn, je weet toch wat je koopt zou je zeggen

.

Dan de caching, er zijn tegenwoordig eigenlijk geen moderne websites en webapplicaties meer die geen enkele vorm van caching gebruiken. Zover ik het verhaal van Xiaomi heb begrepen ging het hier mis met stills, niet met live beelden. Natuurlijk zijn live beelden niet te cachen, echter is het cachen van stills erg normaal en absoluut geen bewijs voor 'serverside 'analyseren''. Dit ziet er echt uit als een 'gewone' fout in de configuratie van de cachingsystemen, extra vervelend omdat het bewakingssystemen zijn die vanzelfsprekend horen te opereren zonder dit soort geintjes maar hoogstwaarschijnlijk geen spionage achtige bedoeling.

Dit betekent overigens niet dat ik het gebruik van dit soort systemen aan zou moedigen, naar mijn mening zijn dit soort (chinese) camera's prima geschikt om op te nemen, als je de toegang naar het internet maar door een veiliger apparaat laat lopen

rdfeij @Ultrapc • 18 januari 2020 17:04

Als het stills zouden zijn (snapshots) dan horen die gewoon aan de client/app kant uit de camera opgevraagd te worden. Omdat caching genoemd wordt ga ik er niet van uit dat dit opgeslagen event(motion alarmen o.i.d.) stills zijn. Caching is bij cctv echt niet normaal, we hebben het hier niet over het cachen van een .jpg bestandje voor een website. Vrijwel elke camera/camera applicatie ondersteund het aanleveren/opvragen van een snapshot direct uit de camera.

Wat ik mij wel kan bedenken is dat men zo af en toe een snapshot op de server bewaard om alvast te presenteren als de client/app beelden begint op te vragen. Als dan de live stream opgebouwd is krijg je live beeld te zien. Naar mijn beleving geheel onnodig tenzij men echt niet 1 seconde langer kan wachten totdat de stream opgebouwd is.

Ultrapc @rdfeij • 18 januari 2020 18:17

Each time he asked for a feed, a new camera appeared showing a still from that other person as can be seen below.

https://9to5google.com/20...est-hub-bug-random-homes/

Eigenlijk heb je het wel over het cachen van een .jpg bestandje voor een website

. Vergeet niet dat dit soort 'slimme' (mee eens, het zijn geen slimme) camera's meestal helemaal niet direct te benaderen zijn. De camera maakt verbinding met de servers van Xiaomi, en daar maak je als klant verbinding mee. Ik neem aan dat het sneller is om dan de stills te cachen op de servers dan dat de servers de camera's moeten benaderen voor een still.

Opnieuw, ik praat het niet goed, maar het ziet er echt naar uit dat dit een onbedoelde fout in caching is geweest.

Zer0 @Coolstart • 18 januari 2020 20:08

Al helpt GDPR u wel natuurlijk door fabrikanten te verplichten cloud data in de EU op te slaan.

Een belangrijke randvoorwaarde uit deze wet is dat persoonsgegevens alleen nog mogen worden gebruikt of opgeslagen in landen die net zo veilig zijn als de Europese Unie zelf voorschrijft.
En daar vallen een aantal landen buiten de EU onder.
https://www.emerce.nl/ach...eu-worden-opgeslagen-1820

telenut @Stangg • 18 januari 2020 14:20

De camera kan beweging detecteren, in verschillende zones. En ook mensen detecteren. Geluid kan hij ook detecteren, en sirenes van een brandalarm herkennen.
Dus vandaar is dit echt wel één van de slimmere camera's ja :-)

rdfeij @telenut • 18 januari 2020 14:51

Dat kunnen ze vrijwel allemaal tegenwoordig, dus zo slim is dat niet meer....

darkness_nightf @rdfeij • 19 januari 2020 10:04

dus als iedereen het kan..is het niet slim meer?

misschien niet bijzonder meer

rdfeij @darkness_nightf • 19 januari 2020 10:50

Uhh. Zo bedoel ik het niet. Het valt me meer en meer op dat producten overdreven beschreven worden om onderscheidend te zijn in de markt terwijl ze helemaal niet onderscheidend zijn ten overstaande van de concurrentie. We kunnen ook stellen dat tegenwoordig alle camera's slimmer zijn dan vroeger (vroeger konden ze alleen beeld produceren). Maar omdat in deze tijd uitdrukkelijk te benoemen is puur marketing. Ze hebben het inderdaad allemaal.
(Er zijn overigens maar een stuk of 10 grote cctv camera producenten op de wereld die zo'n beetje 100% van de productie doen. Al die vele merken zijn veelal in OEM door een van deze partijen gemaakt. De technologie in de camera's is dus niet zo heel verschillend.

Zo hebben we bijvoorbeeld ook: (ook te vinden op Tweakers:)
- laadpassen voor elektrisch autoladen die bij (bijna) alle laadpartijen werken. Klopt, dat doen ze allemaal. Is 1 grote database. Dus zo bijzonder is dat niet.

En eerder uit het nieuws:
Kattenbakkorrels zonder asbest.. Heeft er nooit ingezeten dus het benoemen is ook bijzonder te noemen.
etc. etc.

darkness_nightf @rdfeij • 19 januari 2020 13:09

duidelijk

OldButNotSoWise @Stangg • 18 januari 2020 14:51

Mijn camera, die op de oprit gericht staat, geeft pushmeldingen bij beweging of geluid, tevens begint de (lokale)DVR te lopen, slim dus. Cloudopslag gebeurt ergens in China. de app maakt daar ook connectie mee.
Bewust een obscuur chinees merk, heb liever mijn data in china dan in europa, waar elke dienst toegang toe krijgt.

Sharkoon @Stangg • 18 januari 2020 11:16

Kun je je heel erg druk om maken, geen enkel apparaat is slim. Het is een domme woordkeuze.

Flagg @YangWenli • 19 januari 2020 17:51

Maar die Nederlanders verhaspelen dan waarschijnlijk geen uitdrukkingen.

Je bedoelt vechten tegen de bierkaai, die windmolens verwar je met Don Quichotte.

De rest van je bericht slaat al helemaal nergens op.

rob12424 18 januari 2020 11:35

Als je je aluhoedjes modus opzet; hoe kunnen beelden die gecached zijn bij andere gebruikers terecht komen dan wordt het dus niet cliënt maar server side verwerkt en dan zou het beeld naar het toegezonden op teruggestuurd moeten worden, zo moeilijk zou dat niet zijn. Tenzij de beelden ook nog geredirect worden (geheime dienst ofzo)

Alu hoedjes modus off:

Ok ben Fell tegen cloudoplossingen. Ik ben zelf een behoorlijke dataminer geweest (wel White even voor de duidelijkheid) De gemiddelde mkb is meestal niet interessant. Evt. Wordt er met hagel geschoten, maar dan nog; tijd is ook geld voor een hacker.

Gooi je alleen al die bedrijfjes op een hoop dan hoef je niet 1000den, maar eigenlijk maar 1 kluis te kraken. Kijk en dan wordt het interessant, ook voor de grote jongens. En uiteindelijk is het een race tegen de klok. Vaak zetten ze een goeie crawler in. Niet op de sleutel posities maar er net onder binnen een bedrijf. Wat Social engineering en je bent al gauw binnen. Wat tegenwoordig nogal hip schijnt te zijn is informatie voor bedrijfsuitjes in combinatie met identiteitsfraude. Dus kijk ook daar mee uit.

[Reactie gewijzigd door rob12424 op 23 juli 2024 18:17]

Blokker_1999

Privacy

@rob12424 • 18 januari 2020 13:57

Ik denk dat jij er veel te eenvoudig over denkt. Je hebt dus camerabeelden die naar een clouddienst gaan zodat de data vanop verschillende plaatsen kan geraadpleegd worden en via verschillende apparaten. Ben je op vakantie? Kan je je huis in het oog houden van de andere kant van de wereld. Ben jij en je vrouw uit werken kunnen jullie ook alle twee kijken als er iets gebeurd. Je hebt dus een grote cloud infrastructuur nodig om al die data mee te verwerken en toegankelijk te maken. Want je gaat ook niet iets bouwen waarbij je 1 storage servertje hebt staan. Als die crashed, ben je als bedrijf ook al je data kwijt die je klanten net bij jouw plaatsen.

En dus moet die data toegankelijk zijn. Maar recente data wil je snel toegankelijk hebben terwijl oudere data minder snel tevoorschijn moet komen en dus op tragere storage kan. En je wil ook niet altijd alles van die tragere storage laden dus ga je een caching systeem toepassen. Recente of regelmatig opgevraagde data in snelle cache. Maar als daar 1 fout gemaakt wordt in wie wat kan zien, dan krijg je dus de verkeerde resources geserveerd als klant. En dat is wat hier gebeurd. En ja, dat soort fouten komt wel vaker voor.

https://www.youtube.com/watch?v=dkSslseq9Y8

glydoscoop @Blokker_1999 • 19 januari 2020 08:10

Ik werk voor een beveiliging bedrijf
( camera’s alarm etc ) wij passen de cloud oplossing nooit toe !
Gebeurd vaker dat die tijdelijk offline zijn en beeldkwaliteit wordt geknepen , andere meer stabiele oplossing is een portforwarding

Headshot_NL 18 januari 2020 17:21

Moet ik er nog iets voor doen om het weer werkend te krijgen? Hier lijkt alles up-to-date maar ik kan de yeelights en de vacuüm die in de mi home app staan nog niet besturen via spraak.

TheFes @Headshot_NL • 18 januari 2020 19:43

Hier deed de stofzuiger het vanochtend gewoon via de hub, heb daar verder niets voor gedaan.

Op dit item kan niet meer gereageerd worden.

Xiaomi: beveiligingsprobleem met integratie Google Nest Hub is opgelost

Lees meer

Reacties (21)

Sorteer op:

Weergave: