Eufy-Kameras mit „lokalem Speicher“ können von überall unverschlüsselt streamen.
Als Sicherheitsforscher herausfanden, dass die angeblich wolkenlosen Kameras von Eufy Miniaturansichten von Gesichtsdaten auf Cloud-Server hochluden, antwortete Eufy, dass es sich um ein Missverständnis handele und den Kunden einen Aspekt seines mobilen Benachrichtigungssystems nicht offengelegt habe.
Es scheint, dass es jetzt mehr Verständnis gibt, und das ist nicht gut.
Eufy hat nicht auf andere Behauptungen des Sicherheitsforschers Paul Moore und anderer reagiert, einschließlich der Aussage, dass es möglich sei, von Eufys Kamera zum VLC Media Player zu streamen, wenn man die richtige URL hätte. Gestern Abend bestätigte The Verge in Zusammenarbeit mit dem Sicherheitsforscher „wasabi“, der zuerst über das Problem getwittert hatte , dass über die Eufy-Server-URL ohne Verschlüsselung auf die Kamerastreams von Eufy zugegriffen werden könne .
Dies macht Eufys Datenschutzversprechen von Filmmaterial, das „nie die Sicherheit Ihres Zuhauses verlässt“, Ende-zu-Ende-verschlüsselt und nur „direkt an Ihr Telefon“ gesendet wird, äußerst irreführend, wenn nicht sogar völlig zweifelhaft. Es widerspricht auch dem leitenden PR-Manager von Anker/Eufy, der gegenüber The Verge sagte, dass es „unmöglich“ sei, das Filmmaterial mit einem Drittanbieter-Tool wie VLC anzusehen.
The Verge weist auf einige Einschränkungen hin, die denen ähneln, die für in der Cloud gehostete Miniaturansichten gelten. Grundsätzlich benötigen Sie in der Regel einen Benutzernamen und ein Passwort, um die Stream-URL unverschlüsselt zu öffnen und abzurufen. „Normalerweise“, weil die URL der Kamera ein relativ einfaches Schema zu sein scheint, einschließlich der Seriennummer der Kamera in Base64, einem Unix-Zeitstempel, einem Token, das laut The Verge nicht von Eufys Servern überprüft wird, und einem vierstelligen Hexadezimalwert Wert. Eufy-Seriennummern sind normalerweise 16-stellig, sie sind jedoch auch auf einigen Kartons aufgedruckt und können anderswo bezogen werden.
Wir haben Eufy und Wasabi kontaktiert und werden diesen Beitrag mit weiteren Informationen aktualisieren. Der Forscher Paul Moore, der zunächst Bedenken hinsichtlich des Cloud-Zugriffs von Eufy äußerte, twitterte am 28. November , dass er „eine lange Diskussion mit [Eufys] Rechtsabteilung“ geführt habe und sich nicht zu weiteren Maßnahmen äußern werde, bis er ein Update bereitgestellt habe.
(Update 17:42 Uhr ET: Ars sprach mit Wasabi, der bestätigte, dass er Eufy-Kamera-Feeds von Systemen außerhalb seines Netzwerks ohne Authentifizierung oder andere Eufy-Geräte auf diesem System ansehen kann. „Eufy scheint einfach zu versuchen, Menschen daran zu hindern, sie anzusehen. Daten, die ihre (Web-)App sendet, anstatt das Problem tatsächlich zu lösen“, schrieben sie.
Wasabi stellte außerdem fest, dass aufgrund der Art und Weise, wie die Remote-URLs eingerichtet sind, nur 65.535 Kombinationen ausprobiert werden können, „was ein Computer ziemlich schnell kann“.)
Die Erkennung von Sicherheitslücken ist im Bereich Smart Home und Heimsicherheit eher die Norm als die Ausnahme. Ring, Nest , Samsung, die Kamera für Unternehmensbesprechungen von Owl – wenn sie über ein Objektiv verfügt und eine WLAN-Verbindung herstellt, kann man damit rechnen, dass irgendwann ein Fehler auftritt und damit Schlagzeilen macht. Die meisten dieser Schwachstellen haben einen begrenzten Umfang und sind für einen Angreifer schwer auszunutzen. Bei verantwortungsvoller Offenlegung und schneller Reaktion werden sie Geräte und Systeme letztendlich zuverlässiger machen.
In diesem Fall sieht Eufy nicht wie ein typisches Cloud-Sicherheitsunternehmen mit einer typischen Schwachstelle aus. Eine ganze Seite mit Datenschutzversprechen , darunter einige gültige und besonders gute Schritte, war innerhalb einer Woche weitgehend veraltet.
Sie können argumentieren, dass jeder, der über Kameravorfälle auf seinem Telefon benachrichtigt werden möchte, damit rechnen muss, dass einige Cloud-Server beteiligt sind. Sie können Eufy davon überzeugen, dass die Cloud-Server, auf die Sie mit der richtigen URL zugreifen können, nur ein Wegpunkt für Streams sind, die schließlich unter dem Schutz des Kontopassworts das Heimnetzwerk verlassen müssen.
Aber es muss besonders schmerzhaft für Kunden sein, die Eufy-Produkte unter dem Vorwand gekauft haben, dass ihr Filmmaterial lokal, sicher und im Gegensatz zu anderen Cloud-Unternehmen gespeichert wird, und dann mit ansehen müssen, wie Eufy Schwierigkeiten hat, seine Cloud-Abhängigkeit in einer der größten technischen Pressemitteilungen zu erklären.
Schreibe einen Kommentar