Eufy-kamerat, joissa on ”paikallinen tallennus”, voivat suoratoistaa mistä tahansa salaamattomana.

Kun tietoturvatutkijat havaitsivat, että Eufyn oletettavasti pilvettömät kamerat latasivat kasvotietojen pikkukuvia pilvipalvelimille, Eufy vastasi, että kyseessä oli väärinkäsitys, koska se ei paljastanut asiakkaille jotakin mobiiliilmoitusjärjestelmästään.

Nyt näyttää siltä, ​​että ymmärrystä on enemmän, ja tämä ei ole hyvä.

Eufy ei ole vastannut muihin tietoturvatutkijan Paul Mooren ja muiden väitteisiin, mukaan lukien se, että olisi mahdollista suoratoistaa Eufyn kamerasta VLC Media Playeriin, jos sinulla olisi oikea URL-osoite. Eilen illalla The Verge, joka työskentelee tietoturvatutkijan ”wasabin” kanssa, joka twiittasi ensimmäisenä ongelmasta , vahvisti, että se voi käyttää Eufyn kameravirtoja ilman salausta Eufy-palvelimen URL-osoitteen kautta.

Tämä tekee Eufyn tietosuojalupauksista materiaalista, joka ”ei koskaan jätä kotisi turvallisuutta”, päästä päähän -salattua ja vain ”suoraan puhelimeen” lähetettäviin, erittäin harhaanjohtavia, ellei suorastaan ​​kyseenalaisia. Se on myös ristiriidassa Anker/Eufyn vanhemman PR-päällikön kanssa, joka kertoi The Vergelle, että on ”mahdotonta” katsoa materiaalia kolmannen osapuolen työkalulla, kuten VLC.

The Verge panee merkille joitain varoituksia, jotka ovat samankaltaisia ​​kuin pilvipalvelun pikkukuviin. Periaatteessa tarvitset yleensä käyttäjätunnuksen ja salasanan stream-URL-osoitteen avaamiseen ja käyttämiseen ilman salausta. ”Yleensä”, tämä johtuu siitä, että kameran URL näyttää olevan suhteellisen yksinkertainen malli, mukaan lukien kameran sarjanumero Base64:ssä, Unix-aikaleima, merkki, jota The Vergen mukaan Eufyn palvelimet eivät vahvista, ja nelinumeroinen hex. arvo. Eufy-sarjanumerot ovat yleensä 16 numeroa pitkiä, mutta ne on painettu myös joihinkin laatikoihin ja niitä saa muualta.

Olemme ottaneet yhteyttä Eufyyn ja Wasabiin ja päivitämme tämän viestin lisätiedoilla. Tutkija Paul Moore, joka alun perin ilmaisi huolensa Eufyn pilvipalvelusta, twiittasi 28. marraskuuta , että hänellä oli ”pitkä keskustelu [Eufyn] lakiosaston kanssa” eikä kommentoi jatkotoimia ennen kuin hän toimitti päivityksen.

(Päivitys klo 17.42 ET: Ars puhui Wasabille, joka vahvisti, että hän voi katsella Eufy-kamerasyötteitä verkkonsa ulkopuolisista järjestelmistä ilman todennusta tai muita Eufy-laitteita kyseisessä järjestelmässä. ”Eufy näyttää yrittävän vain estää ihmisiä katselemasta. dataa, jonka heidän (verkko-)sovelluksensa lähettää sen sijaan, että he todella ratkaisevat ongelman”, he kirjoittivat.

Wasabi huomautti myös, että etä-URL-osoitteiden määritystavan vuoksi on vain 65 535 yhdistelmää, joita voidaan kokeilla, ”jotka tietokone pystyy tekemään melko nopeasti.”

Haavoittuvuuden havaitseminen on ennemminkin normi kuin poikkeus älykodissa ja kodin turvallisuudessa. Ring, Nest , Samsung, Owlin yrityskokouskamera – jos siinä on linssi ja se on yhteydessä Wi-Fi-verkkoon, voit odottaa, että jossain vaiheessa ilmaantuu virhe ja sen mukana otsikot. Useimmat näistä puutteista ovat laajuudeltaan rajallisia, hyökkääjän on niitä vaikea hyödyntää, ja vastuullisen paljastamisen ja nopean reagoinnin ansiosta ne tekevät laitteista ja järjestelmistä lopulta luotettavampia.

Tässä tapauksessa Eufy ei näytä tyypilliseltä pilvitietoturvayritykseltä, jolla on tyypillinen haavoittuvuus. Kokonainen sivu tietosuojalupauksia , mukaan lukien päteviä ja erityisen hyviä liikkeitä, vanhentui suurelta osin viikossa.

Voit väittää, että jokaisen, joka haluaa saada ilmoituksen puhelimensa kameratapauksista, pitäisi odottaa joidenkin pilvipalvelimien olevan mukana. Voit saada Eufyn vakuuttuneeksi siitä, että pilvipalvelimet, joihin pääset oikealla URL-osoitteella, ovat vain reittipiste streameille, joiden on lopulta poistuttava kotiverkosta tilin salasanan suojassa.

Mutta sen täytyy olla erityisen tuskallista asiakkaille, jotka ovat ostaneet Eufy-tuotteita sillä verukkeella, että heidän materiaalinsa on tallennettu paikallisesti, turvallisesti ja toisin kuin muut pilviyritykset, mutta Eufy yrittää selittää pilviriippuvuutensa yhdelle suurimmista teknisistä uutisjulkaisuista.