Когда исследователи в области безопасности обнаружили, что предположительно безоблачные камеры Eufy загружали миниатюры данных о лицах на облачные серверы, Eufy ответила, что это было недоразумение, поскольку она не раскрывала клиентам аспект своей мобильной системы уведомлений.
Кажется, что теперь понимания стало больше, и это нехорошо.
Eufy не ответил на другие заявления исследователя безопасности Пола Мура и других, в том числе о том, что можно было бы выполнять потоковую передачу с камеры Eufy на VLC Media Player , если бы у вас был правильный URL-адрес. Прошлой ночью The Verge, работая с исследователем безопасности «wasabi», который первым написал об этой проблеме в Твиттере , подтвердил, что может получить доступ к потокам камеры Eufy без шифрования через URL-адрес сервера Eufy.
Это делает обещания Eufy о конфиденциальности отснятого материала, который «никогда не покидает пределы безопасности вашего дома», полностью зашифрованного и отправляемого только «прямо на ваш телефон», весьма вводящими в заблуждение, если не откровенно сомнительными. Это также противоречит старшему PR-менеджеру Anker/Eufy, который сказал The Verge, что «невозможно» просмотреть отснятый материал с помощью стороннего инструмента, такого как VLC.
The Verge отмечает некоторые предостережения, аналогичные тем, которые применяются к миниатюрам, размещенным в облаке. По сути, вам, как правило, потребуется имя пользователя и пароль, чтобы открыть и получить доступ к URL-адресу потока без шифрования. «Обычно», то есть потому, что URL-адрес камеры кажется относительно простой схемой, включая серийный номер камеры в Base64, отметку времени Unix, токен, который, по словам The Verge, не проверяется серверами Eufy, и четырехзначный шестнадцатеричный код. ценить. Серийные номера Eufy обычно состоят из 16 цифр, но они также напечатаны на некоторых коробках и могут быть получены в другом месте.
Мы связались с Юфи и Васаби и обновим этот пост любой дополнительной информацией. Исследователь Пол Мур, который первоначально выразил обеспокоенность по поводу доступа Eufy к облаку, 28 ноября написал в Твиттере , что у него было «длительное обсуждение с юридическим отделом [Eufy]» и он не будет комментировать дальнейшие действия, пока не предоставит обновленную информацию.
(Обновление 17:42 по восточному времени: Арс поговорил с Васаби, который подтвердил, что может просматривать видео с камер Eufy с систем за пределами своей сети без аутентификации или других устройств Eufy в этой системе. «Похоже, что Eufy пытается просто заблокировать людей от просмотра. данные, которые отправляет их (веб-приложение) вместо фактического решения проблемы», — написали они.
Васаби также отметил, что из-за того, как настроены удаленные URL-адреса, можно попробовать только 65 535 комбинаций, «что компьютер может сделать довольно быстро».)
Обнаружение уязвимостей — это скорее норма, чем исключение в умном доме и домашней безопасности. Ring, Nest , Samsung, корпоративная камера для совещаний Owl — если у нее есть объектив и она подключается к Wi-Fi, вы можете ожидать, что в какой-то момент обнаружится недостаток и заголовки вместе с ним. Масштабы большинства этих недостатков ограничены, злоумышленнику сложно их использовать, а при ответственном раскрытии информации и быстром реагировании они в конечном итоге сделают устройства и системы более надежными.
В этом случае Eufy не выглядит типичной компанией, занимающейся облачной безопасностью, с типичной уязвимостью. Целая страница обещаний о конфиденциальности , включая некоторые действительно важные и особенно хорошие ходы, в значительной степени устарела в течение недели.
Вы можете утверждать, что любой, кто хочет получать уведомления об инцидентах с камерой на своем телефоне, должен ожидать, что будут задействованы некоторые облачные серверы. Вы можете убедить Eufy, что облачные серверы, к которым вы можете получить доступ с правильным URL-адресом, являются просто путевой точкой для потоков, которые в конечном итоге должны покинуть домашнюю сеть под защитой пароля учетной записи.
Но это должно быть особенно болезненно для клиентов, которые купили продукты Eufy под предлогом того, что их отснятый материал хранится локально, надежно и в отличие от других облачных фирм, только для того, чтобы увидеть, как Eufy изо всех сил пытается объяснить свою зависимость от облачных вычислений в одном из крупнейших технических выпусков новостей.