Камери Eufy з «локальним сховищем» можуть транслювати потоки з будь-якого місця без шифрування.

Коли дослідники безпеки виявили, що нібито безхмарні камери Eufy завантажують ескізи даних облич на хмарні сервери, Eufy відповів, що це було непорозуміння, не розкриваючи клієнтам аспект своєї системи мобільних сповіщень.

Здається, зараз більше розуміння, а це недобре.

Eufy не відповів на інші заяви дослідника безпеки Пола Мура та інших, включно з тим, що було б можливо транслювати з камери Eufy на медіапрогравач VLC , якби у вас була правильна URL-адреса. Минулої ночі The Verge, працюючи з дослідником безпеки «wasabi», який першим написав у Twitter про проблему , підтвердив, що може отримати доступ до потоків камери Eufy без шифрування через URL-адресу сервера Eufy.

Це робить обіцянки Eufy щодо конфіденційності відеоматеріалів, які «ніколи не виходять із безпеки вашого дому», наскрізно зашифровані та надсилаються лише «прямо на ваш телефон», вводять в оману, якщо не відверто сумнівно. Це також суперечить старшому PR-менеджеру Anker/Eufy, який сказав The Verge, що «неможливо» переглядати відзнятий матеріал за допомогою стороннього інструменту, такого як VLC.

The Verge зауважує деякі застереження, подібні до тих, що застосовуються до ескізів, розміщених у хмарі. Зазвичай вам знадобляться ім’я користувача та пароль, щоб відкрити та отримати доступ до URL-адреси потоку без шифрування. «Зазвичай», тобто тому, що URL-адреса камери виглядає відносно простою схемою, включаючи серійний номер камери в Base64, мітку часу Unix, маркер, який, за словами The Verge, не перевірено серверами Eufy, і чотиризначний шістнадцятковий код значення. Серійні номери Eufy зазвичай складаються з 16 цифр, але вони також друкуються на деяких коробках і їх можна отримати в інших місцях.

Ми зв’язалися з Eufy і Wasabi і оновимо цю публікацію будь-якою додатковою інформацією. Дослідник Пол Мур, який спочатку висловив занепокоєння з приводу хмарного доступу Eufy, написав у Twitter 28 листопада, що мав «тривалу дискусію з юридичним відділом [Eufy]» і не коментуватиме подальші дії, доки не надасть оновлення.

(Оновлення о 17:42 за східним часом: Ars поспілкувався з Васабі, який підтвердив, що може переглядати канали камери Eufy із систем за межами своєї мережі без автентифікації чи інших пристроїв Eufy у цій системі. «Схоже, Eufy намагається просто заблокувати людям перегляд. дані, які їхній (веб-) додаток надсилає замість того, щоб справді вирішити проблему», — написали вони.

Васабі також зазначив, що через те, як налаштовано віддалені URL-адреси, можна спробувати лише 65 535 комбінацій, «що комп’ютер може зробити досить швидко».)

Виявлення вразливостей є скоріше нормою, ніж винятком у розумному домі та системі безпеки будинку. Ring, Nest , Samsung, камера для корпоративних зустрічей від Owl – якщо вона має об’єктив і під’єднується до Wi-Fi, ви можете очікувати, що в якийсь момент з’явиться недолік, а разом з ним – і заголовки. Більшість із цих недоліків обмежені за обсягом, зловмисникам їх важко використати, і за умови відповідального розкриття та швидкого реагування вони зрештою зроблять пристрої та системи надійнішими.

У цьому випадку Eufy не виглядає як типова хмарна компанія безпеки з типовою вразливістю. Ціла сторінка обіцянок щодо конфіденційності , включно з деякими дійсними та особливо вдалими кроками, значною мірою застаріла протягом тижня.

Ви можете заперечити, що будь-хто, хто хоче отримувати сповіщення про інциденти з камерою на своєму телефоні, повинен очікувати, що будуть залучені деякі хмарні сервери. Ви можете переконати Eufy, що хмарні сервери, до яких ви можете отримати доступ за допомогою правильної URL-адреси, є лише проміжною точкою для потоків, які врешті-решт повинні покинути домашню мережу під захистом пароля облікового запису.

Але це має бути особливо болючим для клієнтів, які купували продукти Eufy під приводом того, що їх відео зберігається локально, безпечно та на відміну від інших хмарних фірм, лише щоб побачити, як Eufy намагається пояснити свою залежність від хмари в одному з найбільших технічних випусків новин.