Eufy-kameror med ”lokal lagring” kan strömma från var som helst okrypterat.
När säkerhetsforskare upptäckte att Eufys förment molnfria kameror laddade upp miniatyrbilder av ansiktsdata till molnservrar, svarade Eufy att det var ett missförstånd, och misslyckades med att avslöja en aspekt av sitt mobilaviseringssystem för kunderna.
Det verkar som att det nu finns mer förståelse, och det här är inte bra.
Eufy har inte svarat på andra påståenden från säkerhetsforskaren Paul Moore och andra, inklusive att det skulle vara möjligt att streama från Eufys kamera till VLC Media Player om du hade rätt URL. I går kväll bekräftade The Verge, i samarbete med säkerhetsforskaren ”wasabi” som först twittrade om problemet , att de kunde komma åt Eufys kameraströmmar utan kryptering via Eufy-serverns URL.
Detta gör Eufys integritetslöften om filmer som ”aldrig lämnar säkerheten i ditt hem”, krypterade från början och bara skickade ”rakt till din telefon” mycket missvisande, om inte direkt tveksamma. Det motsäger också Anker/Eufys senior PR-chef, som sa till The Verge att det är ”omöjligt” att titta på filmerna med ett tredjepartsverktyg som VLC.
The Verge noterar några varningar som liknar de som tillämpas på miniatyrer som är värd för moln. I grund och botten behöver du i allmänhet ett användarnamn och lösenord för att öppna och komma åt stream-URL:n utan kryptering. ”Vanligtvis”, det vill säga eftersom kamerans URL verkar vara ett relativt enkelt schema, inklusive kamerans serienummer i Base64, en Unix-tidsstämpel, en token som The Verge säger att inte är verifierad av Eufys servrar och en fyrsiffrig hexadecimal värde. Eufys serienummer är vanligtvis 16 siffror långa, men de är också tryckta på vissa lådor och kan erhållas någon annanstans.
Vi har kontaktat Eufy och Wasabi och kommer att uppdatera detta inlägg med ytterligare information. Forskaren Paul Moore, som ursprungligen tog upp oro över Eufys molnåtkomst, twittrade den 28 november att han hade ”en lång diskussion med [Eufys] juridiska avdelning” och att han inte skulle kommentera ytterligare åtgärder förrän han gav en uppdatering.
(Uppdatering 17:42 ET: Ars pratade med Wasabi, som bekräftade att han kan se Eufy kameraflöden från system utanför sitt nätverk utan autentisering eller andra Eufy-enheter på det systemet. ”Eufy verkar försöka bara blockera människor från att titta. data som deras (webb)app skickar istället för att faktiskt lösa problemet”, skrev de.
Wasabi noterade också att på grund av hur fjärrwebbadresserna är inställda finns det bara 65 535 kombinationer som kan testas, ”vilket en dator kan göra ganska snabbt.”)
Sårbarhetsdetektering är normen snarare än undantaget inom smarta hem och hemsäkerhet. Ring, Nest , Samsung, Owls företagsmöteskamera – om den har ett objektiv och ansluter till Wi-Fi kan du förvänta dig att ett fel dyker upp någon gång, och rubriker med det. De flesta av dessa brister är begränsade i omfattning, svåra för en angripare att utnyttja, och med ansvarsfullt avslöjande och snabb respons kommer de i slutändan att göra enheter och system mer tillförlitliga.
I det här fallet ser Eufy inte ut som ett typiskt molnsäkerhetsföretag med en typisk sårbarhet. En hel sida med sekretesslöften , inklusive några giltiga och särskilt bra drag, blev i stort sett inaktuella inom en vecka.
Du kan argumentera att alla som vill bli meddelade om kameraincidenter på sin telefon bör förvänta sig att vissa molnservrar är inblandade. Du kan övertyga Eufy om att molnservrarna du kan komma åt med rätt URL bara är en waypoint för strömmar som så småningom måste lämna hemnätverket under skydd av kontolösenordet.
Men det måste vara särskilt smärtsamt för kunder som har köpt Eufy-produkter under förevändning att deras filmer lagras lokalt, säkert och till skillnad från andra molnföretag, bara för att se Eufy kämpa för att förklara sitt molnberoende till ett av de största tekniska nyhetssläppen.
Lämna ett svar