Eufy kameras ar “lokālo atmiņu” var straumēt no jebkuras vietas bez šifrēšanas.

Kad drošības pētnieki atklāja, ka Eufy it kā bezmākoņainās kameras augšupielādē sejas datu sīktēlus mākoņa serveros, Eufy atbildēja, ka tas ir pārpratums, neatklājot klientiem savu mobilo paziņojumu sistēmas aspektu.

Šķiet, ka tagad ir vairāk izpratnes, un tas nav labi.

Eufy nav atbildējis uz citiem drošības pētnieka Pola Mūra un citu apgalvojumiem, tostarp par to, ka būtu iespējams straumēt no Eufy kameras uz VLC Media Player, ja jums būtu pareizais URL. Pagājušajā naktī The Verge, sadarbojoties ar drošības pētnieku “wasabi”, kurš pirmais tvītoja par šo problēmu , apstiprināja, ka tas var piekļūt Eufy kameru straumēm bez šifrēšanas, izmantojot Eufy servera URL.

Tas padara Eufy solījumus par konfidencialitāti attiecībā uz videomateriālu, kas “nekad neatstāj jūsu mājas drošību”, ir pilnībā šifrēts un tiek nosūtīts tikai “tieši uz jūsu tālruni”, ir ļoti maldinoši, ja ne gluži apšaubāmi. Tas arī ir pretrunā ar Anker/Eufy vecāko sabiedrisko attiecību menedžeri, kurš The Verge teica, ka ir “neiespējami” skatīties videomateriālu ar trešās puses rīku, piemēram, VLC.

The Verge atzīmē dažus brīdinājumus, kas ir līdzīgi tiem, kas attiecas uz mākoņa mitinātiem sīktēliem. Būtībā jums parasti būs nepieciešams lietotājvārds un parole, lai atvērtu un piekļūtu straumes URL bez šifrēšanas. “Parasti,” tas ir tāpēc, ka kameras URL, šķiet, ir salīdzinoši vienkārša shēma, tostarp kameras sērijas numurs Base64, Unix laikspiedols, marķieris, ko The Verge apgalvo, ka Eufy serveri nepārbauda, ​​un četru ciparu heks. vērtību. Eufy sērijas numuri parasti ir 16 ciparus gari, taču tie ir arī uzdrukāti uz dažām kastēm un tos var iegūt citur.

Mēs esam sazinājušies ar Eufy un Wasabi un atjaunināsim šo ziņu ar jebkādu papildu informāciju. Pētnieks Pols Mūrs, kurš sākotnēji izteica bažas par Eufy piekļuvi mākoņiem, 28. novembrī tviterī ierakstīja , ka viņam ir “ilgas diskusijas ar [Eufy] juridisko nodaļu” un viņš nekomentēs turpmāko rīcību, kamēr viņš nesniegs atjauninājumu.

(Atjauninājums plkst. 17:42 ET: Ars runāja ar Wasabi, kurš apstiprināja, ka var skatīt Eufy kameru plūsmas no sistēmām ārpus viņa tīkla bez autentifikācijas vai citām Eufy ierīcēm šajā sistēmā. “Šķiet, ka Eufy mēģina vienkārši bloķēt cilvēkus no skatīšanās. datus, ko viņu (tīmekļa) lietotne nosūta, nevis faktiski atrisinātu problēmu, ”viņi rakstīja.

Wasabi arī atzīmēja, ka attālo vietrāžu URL iestatīšanas dēļ ir tikai 65 535 kombinācijas, kuras var izmēģināt, “ko dators var paveikt diezgan ātri.”)

Viedās mājas un mājas drošības ievainojamības noteikšana ir norma, nevis izņēmums. Ring, Nest , Samsung, Owl korporatīvā sanāksmju kamera — ja tai ir objektīvs un tā ir savienota ar Wi-Fi, varat sagaidīt, ka kādā brīdī parādīsies defekts un ar to tiks pievienoti virsraksti. Lielākajai daļai šo trūkumu ir ierobežots apjoms, uzbrucējam ir grūti tos izmantot, un ar atbildīgu izpaušanu un ātru reaģēšanu tie galu galā padarīs ierīces un sistēmas uzticamākas.

Šajā gadījumā Eufy neizskatās pēc tipiska mākoņdrošības uzņēmuma ar tipisku ievainojamību. Vesela privātuma solījumu lapa , tostarp daži derīgi un īpaši labi soļi, nedēļas laikā lielākoties novecoja.

Varat iebilst, ka ikvienam, kurš vēlas saņemt paziņojumu par kameras incidentiem savā tālrunī, vajadzētu sagaidīt, ka tiks iesaistīti daži mākoņserveri. Varat pārliecināt Eufy, ka mākoņa serveri, kuriem var piekļūt, izmantojot pareizo URL, ir tikai ceļa punkts straumēm, kurām ar konta paroli ir jāaizsargā mājas tīkls.

Taču tam ir jābūt īpaši sāpīgam klientiem, kuri ir iegādājušies Eufy produktus, aizbildinoties ar to, ka viņu filmētais materiāls tiek glabāts lokāli, droši un atšķirībā no citiem mākoņdatošanas uzņēmumiem, lai tikai redzētu, ka Eufy cīnās, lai izskaidrotu savu mākoņdatošanu ar vienu no lielākajiem tehniskajiem ziņu izlaidumiem.