Ако имате камера за сигурност Eufy, тези защитени камери може да не са толкова сигурни, колкото изглеждат.
Ако държите на сигурността, може би сте инвестирали в сигурността на дома чрез камера като Eufy. Тези камери, макар и скъпи, са специални с това, че обещават никога да не съхраняват запис на дистанционно, облачно базирани сървъри, работещи на базата peer-to-peer, освен ако не искате да платите за съхранение в облак отделно. Въпреки това Пол Мур, изследовател по сигурността, откри, че миниатюри и лица се съхраняват на сървърите на Eufy. Eufy е компания, собственост на Anker.
Мур показа във видеоклип в YouTube как, дори когато неговият Eufy Homebase 2 е изключен, той може да види миниатюра от запис на камера, който се съхранява на сървърите на Eufy. По същия начин могат да се видят и лица, идентифицирани в кадрите, и те също се съхраняват на AWS сървъри, контролирани от Eufy. Изглежда, че тези изображения се изтриват след 24 часа, но фактът остава, че потребители като Мур се чувстват подведени. Като се има предвид, че Eufy често заявява, че поверителността е сърцето на неговата работа, разбираемо е защо Мур (и други потребители) биха се почувствали така.
Цитатът по-долу е взет от описание на продукт на Eufy в Amazon.
Вашата поверителност е нещо, което ценим толкова, колкото и вие. Като начало, ние предприемаме всички възможни стъпки, за да гарантираме поверителността на вашите данни с вас. Независимо дали става въпрос за вашето новородено, което плаче за мама, или вашият победен танц след игра, записаните ви кадри ще бъдат запазени частни. Съхранява се локално. С криптиране от военно ниво. И се предава на вас, и само на вас. Това е само началото на нашия ангажимент да защитаваме вас, вашето семейство и вашата поверителност.
Мур също демонстрира как тези изображения се съхраняват на тези сървъри, контролирани от Eufy, дори след като кадрите бъдат изтрити. Още по-тревожно е, че той говори за това как е възможно да се гледа поток от протокол за съобщения в реално време (RTMP) от неговата камера без никакво удостоверяване. Той не изясни дали е възможно от външна мрежа или някой трябва да е в същата мрежа като камерата, за да получи достъп до този поток. Той наистина не показа доказателства за функцията, но каза, че това е поради потенциалната опасност подобна уязвимост да бъде демонстрирана публично.
Влошавайки нещата още повече, Мур заяви, че видеоклиповете се съхраняват криптирани с помощта на твърдо кодиран ключ за сигурност на „ZXSecurity17Cam@“, който той потвърди, че ги е дешифрирал локално. намерих неофициално хранилище на GitHub за библиотека на Python от 2019 г за устройства Eufy, който се позовава на същия ключ за криптиране, което предполага, че това е случаят с множество камери Eufy, които са там.
Eufy отговаря
Мур преди това се е свързал с Eufy и е споделил отговора си в Twitter. В имейла компанията потвърди, че съхранява тези изображения на сървърите си и посочи изтичането на 24 часа. Компанията каза, че ще добави допълнително криптиране към своите API и предложи на Мур възможността да тества своето устройство Homebase 3.
Що се отнася до това какво означава всичко това, трудно е да се направят цялостни преценки на ситуацията, докато не се стигне до заключение. Свързахме се с двете страни на разговора и досега не сме получили отговор. Не очакваме непременно да получим отговор, тъй като Мур каза, че е говорил с правния отдел на компанията и в момента няма да коментира повече.
Какво да правите с вашите продукти Eufy
Ако имате продукти на Eufy и сте загрижени от гледна точка на поверителността, може би си струва да ги изключите, за да изчакате и да видите какво ще се случи след това. Не е ясно какво точно прави Eufy и без допълнителни коментари от замесените е трудно да се каже до каква степен потребителите трябва да се тревожат. Изглежда ясно, че много потребители се чувстват подведени, но в каква степен не е ясно в момента.
Ще бъдем сигурни, че ще актуализираме, докато този случай се проточи, и очакваме Eufy да публикува изявление в близко бъдеще в опит да разсее опасенията, които потребителите може да имат.