Kohaliku salvestusruumiga Eufy kaamerad saavad krüptimata voogesitada kõikjalt.
Kui turvateadlased avastasid, et Eufy väidetavalt pilvitu kaamerad laadisid pilveserveritesse üles näoandmete pisipilte, vastas Eufy, et tegemist oli arusaamatusega, kuna ta ei avaldanud klientidele oma mobiiliteavitussüsteemi aspekte.
Tundub, et nüüd on rohkem mõistmist ja see pole hea.
Eufy ei ole vastanud turvauurija Paul Moore’i ja teiste väidetele, sealhulgas sellele, et õige URL-i olemasolul oleks võimalik Eufy kaamerast VLC Media Playerisse voogesitada . Eile õhtul kinnitas The Verge, kes tegi koostööd turvauurija “wasabiga”, kes selle probleemi kohta esimest korda säutsus , et pääseb Eufy serveri URL-i kaudu krüptimata juurde Eufy kaameravoogudele .
See muudab Eufy privaatsuslubadused kaadrite kohta, mis “ei jäta kunagi teie kodu turvalisust”, täielikult krüpteeritud ja saadetakse ainult “otse teie telefoni” väga eksitavateks, kui mitte lausa kahtlasteks. See on vastuolus ka Ankeri/Eufy vanem PR-juhiga, kes ütles The Verge’ile, et filmimaterjali on võimatu vaadata kolmanda osapoole tööriistaga, nagu VLC.
The Verge märgib mõningaid hoiatusi, mis on sarnased pilve hostitud pisipiltide puhul rakendatavatega. Põhimõtteliselt vajate voo URL-i avamiseks ja krüptimata juurdepääsuks kasutajanime ja parooli. “Tavaliselt,” see tähendab, kuna kaamera URL näib olevat suhteliselt lihtne skeem, sealhulgas kaamera seerianumber Base64-s, Unixi ajatempel, märk, mida The Verge väitel Eufy serverid ei kinnita, ja neljakohaline kuueteistkümnend. väärtus. Eufy seerianumbrid on tavaliselt 16-kohalised, kuid need on trükitud ka mõnele karbile ja neid saab mujalt.
Oleme Eufy ja Wasabiga ühendust võtnud ning värskendame seda postitust täiendava teabega. Teadlane Paul Moore, kes väljendas algselt muret Eufy pilvele juurdepääsu pärast, säutsus 28. novembril Twitteris, et tal oli [Eufy] juriidilise osakonnaga pikk arutelu ja ta ei kommenteeri edasisi tegevusi enne, kui ta on värskenduse esitanud.
(Uuendus kell 17.42 ET: Ars rääkis Wasabiga, kes kinnitas, et saab vaadata Eufy kaameravooge väljaspool oma võrku asuvatest süsteemidest ilma autentimise või muude Eufy seadmeteta selles süsteemis. „Eufy näib üritavat lihtsalt blokeerida inimestel vaatamist. andmed, mida nende (veebi)rakendus probleemi lahendamise asemel saadab,“ kirjutasid nad.
Wasabi märkis ka, et kaug-URL-ide seadistamise tõttu on võimalik proovida ainult 65 535 kombinatsiooni, “mida arvuti suudab üsna kiiresti teha.”
Haavatavuse tuvastamine on targa kodu ja kodu turvalisuse valdkonnas pigem norm kui erand. Ring, Nest , Samsung, Owli ettevõtte koosolekukaamera – kui sellel on objektiiv ja see ühendub Wi-Fi-ga, võite oodata, et mingil hetkel ilmneb viga ja koos sellega pealkirjad. Enamik neist vigadest on piiratud ulatusega, ründajal on neid raske ära kasutada ning vastutustundliku avalikustamise ja kiire reageerimisega muudavad need lõppkokkuvõttes seadmed ja süsteemid töökindlamaks.
Sel juhul ei näe Eufy välja nagu tüüpiline pilveturbeettevõte, millel on tüüpiline haavatavus. Terve lehekülg privaatsuslubadusi , sealhulgas mõned kehtivad ja eriti head käigud, aegus nädalaga suures osas.
Võite väita, et igaüks, kes soovib oma telefoni kaamerajuhtumitest teavitada, peaks eeldama, et kaasatakse mõned pilveserverid. Saate Eufyt veenda, et pilveserverid, millele pääsete juurde õige URL-iga, on vaid teekonnapunkt voogudele, mis peavad lõpuks koduvõrgust konto parooli kaitse all lahkuma.
Kuid see peab olema eriti valus klientidele, kes on ostnud Eufy tooteid ettekäändel, et nende filmitud materjali salvestatakse kohapeal, turvaliselt ja erinevalt teistest pilveettevõtetest, et näha, kuidas Eufy püüab selgitada oma pilve sõltuvust ühe suurima tehnilise uudiste väljaandest.
Lisa kommentaar