Kamery Eufy z „pamięcią lokalną” mogą przesyłać strumieniowo z dowolnego miejsca bez szyfrowania.

Kiedy badacze bezpieczeństwa odkryli, że rzekomo bezchmurne kamery Eufy przesyłały miniatury danych twarzy na serwery w chmurze, Eufy odpowiedział, że to nieporozumienie, ponieważ nie ujawnił klientom aspektu swojego mobilnego systemu powiadomień.

Wydaje się, że teraz jest więcej zrozumienia, a to nie jest dobre.

Eufy nie odpowiedziała na inne twierdzenia badacza bezpieczeństwa Paula Moore’a i innych, w tym na to, że możliwe byłoby przesyłanie strumieniowe z kamery Eufy do VLC Media Player, gdybyś miał poprawny adres URL. Zeszłej nocy The Verge, współpracując z badaczem bezpieczeństwa „wasabi”, który jako pierwszy napisał na Twitterze o problemie , potwierdził, że może uzyskać dostęp do strumieni z kamery Eufy bez szyfrowania za pośrednictwem adresu URL serwera Eufy.

To sprawia, że ​​obietnice prywatności Eufy dotyczące materiału, który „nigdy nie opuszcza bezpieczeństwa twojego domu”, szyfrowanego od końca do końca i wysyłanego tylko „bezpośrednio na twój telefon”, są bardzo mylące, jeśli nie wręcz wątpliwe. Jest to również sprzeczne ze starszym menedżerem PR Anker / Eufy, który powiedział The Verge, że oglądanie materiału za pomocą narzędzia innej firmy, takiego jak VLC, jest „niemożliwe”.

The Verge zauważa pewne zastrzeżenia podobne do tych, które stosuje się do miniatur hostowanych w chmurze. Zasadniczo będziesz potrzebować nazwy użytkownika i hasła, aby otworzyć i uzyskać dostęp do adresu URL strumienia bez szyfrowania. „Zwykle”, to znaczy, ponieważ adres URL kamery wydaje się być stosunkowo prostym schematem, w tym numer seryjny kamery w Base64, znacznik czasu systemu Unix, token, który według The Verge nie jest weryfikowany przez serwery Eufy, oraz czterocyfrowy kod szesnastkowy wartość. Numery seryjne Eufy mają zwykle 16 cyfr, ale są również drukowane na niektórych pudełkach i można je uzyskać gdzie indziej.

Skontaktowaliśmy się z Eufy i Wasabi i zaktualizujemy ten post o dodatkowe informacje. Badacz Paul Moore, który początkowo wyraził obawy dotyczące dostępu Eufy do chmury, napisał 28 listopada na Twitterze, że odbył „długą dyskusję z działem prawnym [Eufy]” i nie będzie komentował dalszych działań, dopóki nie dostarczy aktualizacji.

(Aktualizacja o 17:42 ET: Ars rozmawiał z Wasabi, który potwierdził, że może oglądać transmisje z kamery Eufy z systemów poza swoją siecią bez uwierzytelniania lub innych urządzeń Eufy w tym systemie. „Wygląda na to, że Eufy próbuje po prostu zablokować ludziom możliwość oglądania. dane, które ich aplikacja (internetowa) wysyła zamiast faktycznego rozwiązania problemu” – napisali.

Wasabi zauważył również, że ze względu na sposób konfigurowania zdalnych adresów URL istnieje tylko 65 535 kombinacji, które można wypróbować, „co komputer może zrobić dość szybko”).

Wykrywanie luk w zabezpieczeniach jest raczej normą niż wyjątkiem w inteligentnym domu i bezpieczeństwie domu. Ring, Nest , Samsung, firmowa kamera do spotkań Owl – jeśli ma obiektyw i łączy się z Wi-Fi, możesz spodziewać się, że w pewnym momencie pojawi się usterka, a wraz z nią nagłówki. Większość z tych luk ma ograniczony zakres i jest trudna do wykorzystania przez atakującego, a dzięki odpowiedzialnemu ujawnieniu i szybkiej reakcji ostatecznie zwiększą niezawodność urządzeń i systemów.

W tym przypadku Eufy nie wygląda na typową firmę zajmującą się bezpieczeństwem w chmurze z typową luką. Cała strona obietnic dotyczących prywatności , w tym niektóre ważne i szczególnie dobre posunięcia, stała się w dużej mierze nieaktualna w ciągu tygodnia.

Można argumentować, że każdy, kto chce być powiadamiany o incydentach z kamerą na swoim telefonie, powinien spodziewać się zaangażowania niektórych serwerów w chmurze. Możesz przekonać Eufy, że serwery w chmurze, do których masz dostęp za pomocą prawidłowego adresu URL, to tylko punkt orientacyjny dla strumieni, które ostatecznie muszą opuścić sieć domową pod ochroną hasła do konta.

Ale to musi być szczególnie bolesne dla klientów, którzy kupili produkty Eufy pod pretekstem, że ich materiał filmowy jest przechowywany lokalnie, bezpiecznie i w przeciwieństwie do innych firm zajmujących się chmurą, tylko po to, aby zobaczyć, jak Eufy zmaga się z wyjaśnieniem swojej zależności od chmury w jednym z największych komunikatów technicznych.