Kamery Eufy s „místním úložištěm“ mohou streamovat odkudkoli nešifrovaně.

Když bezpečnostní výzkumníci zjistili, že údajně bezoblačné kamery Eufy nahrávaly miniatury dat obličejů na cloudové servery, Eufy odpověděl, že šlo o nedorozumění, protože zákazníkům neprozradil aspekt svého mobilního oznamovacího systému.

Zdá se, že nyní je více porozumění, a to není dobré.

Eufy nereagoval na další tvrzení bezpečnostního výzkumníka Paula Moora a dalších, včetně toho, že by bylo možné streamovat z Eufyho kamery do VLC Media Player, pokud byste měli správnou adresu URL. Včera večer The Verge ve spolupráci s bezpečnostním výzkumníkem „wasabi“, který o problému poprvé tweetoval , potvrdil, že má přístup k streamům z kamery Eufy bez šifrování prostřednictvím adresy URL serveru Eufy.

Díky tomu jsou přísliby ochrany soukromí společnosti Eufy ohledně záběrů, které „nikdy neopustí bezpečnost vašeho domova“, zašifrované end-to-end a zaslané „přímo do vašeho telefonu“, jsou vysoce zavádějící, ne-li přímo pochybné. Je to také v rozporu s hlavním PR manažerem Anker/Eufy, který řekl The Verge, že je „nemožné“ sledovat záznam pomocí nástroje třetí strany, jako je VLC.

The Verge poznamenává některá upozornění podobná těm, která se vztahují na miniatury hostované v cloudu. V zásadě budete obecně potřebovat uživatelské jméno a heslo k otevření a přístupu k URL streamu bez šifrování. „Obvykle,“ to znamená, protože adresa URL kamery se zdá být relativně jednoduchým schématem, včetně sériového čísla kamery v Base64, unixového časového razítka, tokenu, o kterém The Verge říká, že není ověřený servery Eufy, a čtyřmístného hex hodnota. Sériová čísla Eufy mají obvykle 16 číslic, ale jsou také vytištěna na některých krabicích a lze je získat i jinde.

Kontaktovali jsme Eufy a Wasabi a aktualizujeme tento příspěvek o další informace. Výzkumník Paul Moore, který původně vyjádřil obavy ohledně cloudového přístupu Eufy, 28. listopadu tweetoval, že měl „dlouhou diskusi s [Eufyho právním oddělením“ a nebude komentovat další kroky, dokud neposkytne aktualizaci.

(Aktualizace 17:42 ET: Ars mluvil s Wasabim, který potvrdil, že může sledovat kanály z kamery Eufy ze systémů mimo jeho síť bez autentizace nebo jiných zařízení Eufy v tomto systému. „Zdá se, že Eufy se jen snaží zablokovat lidem sledování. data, která jejich (webová) aplikace posílá místo toho, aby problém skutečně řešila,“ napsali.

Wasabi také poznamenal, že vzhledem ke způsobu nastavení vzdálených URL existuje pouze 65 535 kombinací, které lze vyzkoušet, „což počítač zvládne docela rychle.)

Detekce zranitelnosti je v inteligentních domácnostech a zabezpečení domácnosti spíše normou než výjimkou. Ring, Nest , Samsung, Owl’s corporate meeting camera – pokud má čočku a připojuje se k Wi-Fi, můžete očekávat, že se v určitém okamžiku objeví chyba a s ní se objeví i titulky. Většina těchto nedostatků má omezený rozsah, pro útočníka je obtížné je zneužít a díky zodpovědnému odhalení a rychlé reakci nakonec učiní zařízení a systémy spolehlivějšími.

V tomto případě Eufy nevypadá jako typická cloudová bezpečnostní společnost s typickou zranitelností. Celá stránka příslibů ochrany osobních údajů , včetně některých platných a zvláště dobrých kroků, se během týdne stala z velké části neaktuální.

Můžete namítnout, že každý, kdo chce být informován o incidentech s kamerou na svém telefonu, by měl počítat se zapojením cloudových serverů. Můžete přesvědčit Eufy, že cloudové servery, ke kterým máte přístup se správnou URL, jsou pouze průchozím bodem pro streamy, které musí nakonec opustit domácí síť pod ochranou hesla účtu.

Obzvláště bolestivé to však musí být pro zákazníky, kteří si zakoupili produkty Eufy pod záminkou, že jejich záběry jsou uloženy lokálně, bezpečně a na rozdíl od jiných cloudových firem, jen když vidí Eufy, jak se snaží vysvětlit svou závislost na cloudu jedné z největších technických novinek.