Домашните охранителни камери се подобриха много през последните години, но сигурността на вашите кадри винаги е била проблем. Марката Eufy на Anker твърди, че съхранява данните локално, но изследовател по сигурността разкри, че това твърдение е далеч от истината, тъй като моментните снимки не само пътуват до облака, но остават видими дори след като е трябвало да бъдат изтрити.
Eufy продава много от своите охранителни камери с обещанието, че видеозаписите и другите данни ще бъдат само локални и изрично казва, че „никой няма достъп до вашите данни освен вас“. на своя уебсайт.
Пол Мур, изследовател по сигурността, Публикувано в Twitter миналата седмица Страшна ситуация със сигурността с продуктите за домашна сигурност Eufy, включително звънци, оборудвани с камери. В нишката и придружаващите видеоклипове Мур показа доказателства, че камерите на Eufy изпращат данни, за които се казва, че се „съхраняват локално“ в облака, дори когато облачното съхранение е деактивирано.
Дупката в сигурността беше открита за първи път в двойната камера на звънеца на Eufy, която използва две камери, за да наблюдава както хората, които влизат през вратата ви, така и прага ви, където могат да се оставят пакети.
Камерата на звънеца качваше данни за лицево разпознаване от камерата в облачните сървъри на Eufy с прикачена конкретна информация и тези данни всъщност не бяха премахнати от сървърите на Eufy, когато съответните моментни снимки бяха изтрити от приложението Eufy. Във видеото по-долу Мур посочва също, че Eufy е използвал данни за лицево разпознаване от две различни камери на два много различни акаунта, за да съпостави данните от всеки, и посочва, че Eufy никога не уведомява потребителя, че това се е случило – пазарът на компанията просто показва че. обратното.
Не е ясно колко камери и продукти за домашна сигурност на Eufy са били засегнати от това. AndroidCentral Той успя да възпроизведе същите проблеми със сигурността на EufyCam 3, съчетан с Eufy HomeBase 3.
Може би още по-страшни бяха констатациите на друг потребител, че тези потоци от моментни снимки на Eufy могат да бъдат достъпни чрез некриптирани потоци. Просто използвайки популярния медиен плейър VLC, потребителят успя да получи достъп до емисията на камерата и Пол Мур потвърди (макар и без да показва как работи), че потоците могат да бъдат достъпни без необходимост от криптиране или удостоверяване.
Актуализация 12/1: ръбът Също така потвърдете, че има дупка в сигурността на VLC. „Мога да потвърдя, че не е възможно да стартирате стрийминг и да гледате кадри на живо с помощта на плейър на трета страна като VLC“, заяви PR мениджърът на Anker уверено, докато ръбът Той успя да направи точно това.
В публикацията се казва, че е необходимо удостоверяване за достъп до детайлите на потока първоначално, но след това информацията работи без друго удостоверяване. Те можеха да предават поточно видео, докато камерата беше будна, т.е. когато записваше клип, след като движението беше засечено или гледано на живо от неговия собственик. Трябва също така да се отбележи, че URL адресът, осъществяващ достъп до тези потоци, включва клеймо за време на Unix, произволен токен, който никога не е бил валидиран, произволен четирицифрен шестнадесетичен код, който може да бъде „лесно принуден“, и информация, която се основава на серийния номер на камерата.
Пол Мур, изследователят, който първи подчерта този случай, също сподели в публикацията, че е започнал съдебно дело срещу Анкер.
Eufy все още не е отговорил публично на тези твърдения, но доказателствата са доста ясни на този етап и това е масивен провал в сигурността в допълнение към откровените лъжи на клиентите. Мур Получих имейл От Eufy тъй като компанията се опита да обясни описаното поведение, въпреки че Мур Направете причината Повечето от отговорите на компанията бяха да омаловажат сериозността на проблема.
Мур Предложих актуализация към ситуацията вчера, казвайки, че Eufy е премахнал „фон на обаждането“, който показва съхранени изображения, но не и базови заснемания, и че компанията също е криптирала други обаждания, за да прикрие следите си.
9to5Google’s Take
айк
Още за сигурността на дома:
FTC: Използваме партньорски връзки, за да печелим приходи. Повече ▼.