Le telecamere Eufy con “archiviazione locale” possono eseguire lo streaming da qualsiasi luogo non crittografato.

Quando i ricercatori di sicurezza hanno scoperto che le presunte telecamere senza nuvole di Eufy stavano caricando le miniature dei dati dei volti sui server cloud, Eufy ha risposto che si trattava di un malinteso, non riuscendo a rivelare ai clienti un aspetto del suo sistema di notifica mobile.

Sembra che ora ci sia più comprensione, e questo non va bene.

Eufy non ha risposto ad altre affermazioni del ricercatore di sicurezza Paul Moore e altri, inclusa la possibilità di eseguire lo streaming dalla videocamera di Eufy a VLC Media Player se si dispone dell’URL corretto. Ieri sera, The Verge, in collaborazione con il ricercatore di sicurezza “wasabi” che per primo ha twittato sul problema , ha confermato di poter accedere ai flussi della telecamera di Eufy senza crittografia tramite l’URL del server Eufy.

Ciò rende le promesse sulla privacy di Eufy di filmati che “non lasciano mai la sicurezza della tua casa”, crittografati end-to-end e inviati solo “direttamente al tuo telefono” altamente fuorvianti, se non addirittura dubbie. Contraddice anche il senior PR manager di Anker/Eufy, che ha dichiarato a The Verge che è “impossibile” guardare il filmato con uno strumento di terze parti come VLC.

The Verge rileva alcuni avvertimenti simili a quelli applicati alle miniature ospitate nel cloud. Fondamentalmente, avrai generalmente bisogno di un nome utente e una password per aprire e accedere all’URL del flusso senza crittografia. “Di solito”, cioè perché l’URL della telecamera sembra essere uno schema relativamente semplice, incluso il numero di serie della telecamera in Base64, un timestamp Unix, un token che secondo The Verge non è verificato dai server di Eufy e un esadecimale a quattro cifre valore. I numeri di serie Eufy sono in genere composti da 16 cifre, ma sono anche stampati su alcune scatole e possono essere ottenuti altrove.

Abbiamo contattato Eufy e Wasabi e aggiorneremo questo post con ulteriori informazioni. Il 28 novembre il ricercatore Paul Moore, che inizialmente ha sollevato dubbi sull’accesso al cloud di Eufy, ha twittato di aver avuto “una lunga discussione con l’ufficio legale [di Eufy]” e non avrebbe commentato ulteriori azioni fino a quando non avesse fornito un aggiornamento.

(Aggiornamento 17:42 ET: Ars ha parlato con Wasabi, che ha confermato di poter visualizzare i feed della telecamera Eufy da sistemi al di fuori della sua rete senza autenticazione o altri dispositivi Eufy su quel sistema. “Sembra che Eufy stia solo cercando di impedire alle persone di visualizzare. dati che la loro app (web) invia invece di risolvere effettivamente il problema “, hanno scritto.

Wasabi ha anche notato che, a causa del modo in cui sono impostati gli URL remoti, ci sono solo 65.535 combinazioni che possono essere provate, “cosa che un computer può fare abbastanza velocemente.”)

Il rilevamento delle vulnerabilità è la norma piuttosto che l’eccezione nella casa intelligente e nella sicurezza domestica. Ring, Nest , Samsung, la videocamera per riunioni aziendali di Owl: se ha un obiettivo e si connette al Wi-Fi, puoi aspettarti che a un certo punto venga visualizzato un difetto e i titoli con esso. La maggior parte di questi difetti ha una portata limitata, difficile da sfruttare per un utente malintenzionato e, con una divulgazione responsabile e una risposta rapida, alla fine renderanno dispositivi e sistemi più affidabili.

In questo caso, Eufy non sembra una tipica azienda di sicurezza cloud con una tipica vulnerabilità. Un’intera pagina di promesse sulla privacy , comprese alcune mosse valide e particolarmente buone, è diventata in gran parte obsoleta nel giro di una settimana.

Si può sostenere che chiunque desideri essere avvisato degli incidenti con la videocamera sul proprio telefono dovrebbe aspettarsi il coinvolgimento di alcuni server cloud. Puoi convincere Eufy che i server cloud a cui puoi accedere con l’URL corretto sono solo un punto di passaggio per i flussi che alla fine devono lasciare la rete domestica sotto la protezione della password dell’account.

Ma deve essere particolarmente doloroso per i clienti che hanno acquistato i prodotti Eufy con il pretesto che i loro filmati sono archiviati localmente, in modo sicuro e diversamente da altre aziende cloud, solo per vedere Eufy lottare per spiegare la sua dipendenza dal cloud a uno dei più grandi comunicati tecnici.