„Eufy“ fotoaparatai su „vietine saugykla“ gali transliuoti iš bet kurios vietos nešifruotai.

Kai saugumo tyrinėtojai išsiaiškino, kad tariamai be debesų Eufy kameros įkelia veido duomenų miniatiūras į debesies serverius, Eufy atsakė, kad tai buvo nesusipratimas, nes klientams neatskleidė savo mobiliųjų pranešimų sistemos aspekto.

Atrodo, kad dabar yra daugiau supratimo, o tai nėra gerai.

„Eufy“ neatsakė į kitus saugumo tyrinėtojo Paulo Moore’o ir kitų teiginius, įskaitant tai, kad būtų galima transliuoti iš Eufy kameros į VLC Media Player, jei turėtumėte teisingą URL. Praėjusią naktį „The Verge“, bendradarbiaudama su saugumo tyrinėtoju „wasabi“, kuris pirmą kartą paskelbė apie šią problemą , patvirtino, kad gali pasiekti „Eufy“ kamerų srautus be šifravimo per „Eufy“ serverio URL.

Dėl to Eufy pažadai dėl privatumo filmuotos medžiagos, kuri „niekada nepalieka jūsų namų saugumo“, yra visiškai užšifruota ir siunčiama „tiesiog į jūsų telefoną“, yra labai klaidinanti, jei ne visiškai abejotina. Tai taip pat prieštarauja Anker/Eufy vyresniajam viešųjų ryšių vadovui, kuris „The Verge“ sakė, kad filmuotos medžiagos „neįmanoma“ žiūrėti naudojant trečiosios šalies įrankį, pvz., VLC.

„The Verge“ atkreipia dėmesį į kai kuriuos įspėjimus, panašius į tuos, kurie taikomi debesyje priglobtoms miniatiūroms. Iš esmės, norint atidaryti ir pasiekti srauto URL be šifravimo, paprastai reikės vartotojo vardo ir slaptažodžio. „Paprastai“, tai yra todėl, kad atrodo, kad fotoaparato URL yra gana paprasta schema, įskaitant kameros serijos numerį Base64, Unix laiko žymą, prieigos raktą, kurio „The Verge“ teigimu, nepatvirtino „Eufy“ serveriai, ir keturių skaitmenų šešioliktainį skaičių. vertė. „Eufy“ serijos numeriai paprastai yra 16 skaitmenų ilgio, tačiau jie taip pat yra atspausdinti ant kai kurių dėžučių ir juos galima gauti kitur.

Susisiekėme su Eufy ir Wasabi ir atnaujinsime šį įrašą su bet kokia papildoma informacija. Tyrėjas Paulas Moore’as, iš pradžių išreiškęs susirūpinimą dėl „Eufy“ prieigos prie debesies, lapkričio 28 d. „Twitter“ paskelbė , kad „ilgai diskutavo su [Eufy] teisės skyriumi“ ir nekomentuos tolesnių veiksmų, kol nepateiks atnaujinimo.

(Atnaujinimas 17.42 val. ET: Arsas kalbėjosi su Wasabi, kuris patvirtino, kad gali peržiūrėti „Eufy“ kamerų tiekimą iš sistemų, nepriklausančių savo tinklui, be autentifikavimo ar kitų „Eufy“ įrenginių toje sistemoje. „Atrodo, kad „Eufy“ bando tiesiog blokuoti žmonėms galimybę žiūrėti. duomenų, kuriuos jų (žiniatinklio) programėlė siunčia, užuot išsprendusi problemą“, – rašė jie.

Wasabi taip pat pažymėjo, kad dėl nuotolinių URL nustatymo būdo galima išbandyti tik 65 535 derinius, „ką kompiuteris gali padaryti gana greitai“.

Pažeidžiamumo aptikimas yra norma, o ne išimtis išmaniųjų namų ir namų saugumo srityje. „Ring“, „Nest “, „Samsung“, „Owl“ įmonės susitikimų kamera – jei ji turi objektyvą ir jungiasi prie „Wi-Fi“, galite tikėtis, kad tam tikru momentu atsiras trūkumas ir antraštės. Dauguma šių trūkumų yra ribotos apimties, užpuolikui sunku jais pasinaudoti, o atsakingai atskleidus ir greitai reaguojant, įrenginiai ir sistemos galiausiai taps patikimesni.

Šiuo atveju „Eufy“ neatrodo kaip tipiška debesų saugos įmonė, turinti tipišką pažeidžiamumą. Visas puslapis privatumo pažadų , įskaitant keletą pagrįstų ir ypač gerų žingsnių, per savaitę iš esmės paseno.

Galite teigti, kad kiekvienas, norintis gauti pranešimą apie fotoaparato incidentus savo telefone, turėtų tikėtis, kad bus įtraukti kai kurie debesies serveriai. Galite įtikinti Eufy, kad debesies serveriai, kuriuos galite pasiekti naudodami teisingą URL, yra tik tarpinis taškas srautams, kurie galiausiai turi palikti namų tinklą, saugomi paskyros slaptažodžio.

Tačiau tai turi būti ypač skausminga tiems klientams, kurie įsigijo „Eufy“ produktus pretekstu, kad jų filmuota medžiaga saugoma vietoje, saugiai ir skirtingai nuo kitų debesų kompanijų, tik norėdami pamatyti, kad „Eufy“ stengiasi paaiškinti savo priklausomybę nuo debesų vienai didžiausių techninių naujienų leidinių.