「ローカル ストレージ」を備えた Eufy カメラは、暗号化されずにどこからでもストリーミングできます。
Eufy のクラウドレスと思われるカメラが顔データのサムネイルをクラウド サーバーにアップロードしていることをセキュリティ研究者が発見したとき、Eufy はそれは誤解であると答え、モバイル通知システムの一面を顧客に開示していませんでした。
今では理解が進んでいるように思えますが、これは良くありません。
Eufyは、正しいURLがあればEufyのカメラからVLC Media Playerにストリーミングできるだろうというセキュリティ研究者のPaul Moore氏らの他の主張に対して返答していない。昨夜、The Verge は、この問題について最初にツイートしたセキュリティ研究者「wasabi」と協力し、 Eufy サーバー URL 経由で暗号化なしで Eufy のカメラ ストリームにアクセスできることを確認しました。
このため、映像は「家のセキュリティを決して外に出さない」、エンドツーエンドで暗号化され、「携帯電話に直接」のみ送信されるというEufy のプライバシーに関する約束は、完全に疑わしいとは言わないまでも、非常に誤解を招くものとなっています。また、Anker/Eufy の上級 PR マネージャーが The Verge に対し、VLC などのサードパーティ ツールで映像を視聴することは「不可能」であると述べたこととも矛盾しています。
The Verge は、クラウドでホストされているサムネイルに適用されるものと同様のいくつかの注意事項を指摘しています。基本的に、暗号化せずにストリーム URL を開いてアクセスするには、通常、ユーザー名とパスワードが必要です。「通常は」つまり、カメラの URL は、Base64 でのカメラのシリアル番号、Unix タイムスタンプ、The Verge が Eufy のサーバーによって検証されていないと言っているトークン、および 4 桁の 16 進数を含む、比較的単純なスキームであるように見えるためです。価値。Eufy のシリアル番号は通常 16 桁ですが、一部の箱にも印刷されており、他の場所でも入手できます。
Eufy と Wasabi に連絡しており、追加情報があればこの投稿を更新します。当初、Eufyのクラウドアクセスについて懸念を表明した研究者のポール・ムーア氏は11月28日、「(Eufyの)法務部門と長い話し合いを行った」とツイートし、最新情報が提供されるまでさらなる措置についてはコメントしないと述べた。
(東部標準時間午後 5 時 42 分更新: Ars 氏は Wasabi 氏に話を聞き、ネットワーク外のシステムから認証なしで、またはそのシステム上の他の Eufy デバイスから Eufy カメラ フィードを閲覧できることを確認しました。「Eufy は、単に人々の閲覧をブロックしようとしているようです。実際に問題を解決するのではなく、(ウェブ)アプリが送信するデータです」と彼らは書いています。
Wasabi 氏はまた、リモート URL の設定方法のせいで、試せる組み合わせは 65,535 通りしかなく、「コンピュータならすぐに実行できる」とも指摘しました。)
脆弱性の検出は、スマート ホームおよびホーム セキュリティにおいて例外ではなく標準です。Ring、Nest、Samsung、Owl の企業会議用カメラ – レンズが付いており、Wi-Fi に接続されている場合、ある時点で欠陥が明らかになり、見出しになることが予想されます。これらの欠陥のほとんどは範囲が限られており、攻撃者が悪用するのは困難であり、責任ある開示と迅速な対応により、最終的にデバイスとシステムの信頼性が高まります。
この場合、Eufy は典型的な脆弱性を備えた典型的なクラウド セキュリティ会社とは思えません。いくつかの有効かつ特に優れた取り組みを含むプライバシーに関する約束のページ全体が、1 週間以内にほとんど時代遅れになってしまいました。
携帯電話でカメラのインシデントの通知を受け取りたい人は、クラウド サーバーが関与していることを予期する必要があると主張することもできます。正しい URL でアクセスできるクラウド サーバーは、最終的にはアカウント パスワードの保護下でホーム ネットワークから離れる必要があるストリームの通過点にすぎないことを Eufy に納得させることができます。
しかし、他のクラウド企業とは異なり、映像がローカルに安全に保存されるという口実で Eufy 製品を購入した顧客にとって、Eufy が最大規模の技術ニュース リリースの 1 つに対して自社のクラウド依存性を説明するのに苦労しているのを見るのは特に苦痛に違いありません。
コメントを残す