Pokud máte bezpečnostní kameru Eufy, tyto zabezpečené kamery nemusí být tak bezpečné, jak se zdá.
Pokud jste velcí v oblasti bezpečnosti, možná jste investovali do zabezpečení domácnosti prostřednictvím kamery Eufy. Tyto kamery, i když jsou drahé, jsou speciální v tom, že slibují, že nikdy nebudou ukládat záběry na dálkové ovládání, cloudové servery fungující na bázi peer-to-peer, pokud nechcete platit za cloudové úložiště odděleně. Paul Moore, bezpečnostní výzkumník, však zjistil, že miniatury a obličeje jsou uloženy na serverech Eufy. Eufy je společnost vlastněná Ankerem.
Moore ve videu na YouTube ukázal, jak i když je jeho Eufy Homebase 2 vypnutá, může si prohlédnout miniaturu ze záznamu kamery, který je uložen na serverech Eufy. Stejně tak lze vidět i tváře, které byly identifikovány na záběrech, a ty jsou také uloženy na serverech AWS řízených Eufy. Zdá se, že tyto obrázky jsou smazány po 24 hodinách, ale faktem zůstává, že spotřebitelé, jako je Moore, se cítí být uvedeni v omyl. Vzhledem k tomu, že Eufy často uvádí, že soukromí je srdcem jejího fungování, je pochopitelné, proč by se tak Moore (a další spotřebitelé) cítil.
Níže uvedená citace je převzata z popisu produktu Eufy na Amazonu.
Vaše soukromí je něco, čeho si ceníme stejně jako vy. Pro začátek podnikáme všechny představitelné kroky, abychom zajistili, že vaše data budou soukromá, s vámi. Ať už je to váš novorozený pláč pro mámu, nebo váš vítězný tanec po hře, vaše nahrané záznamy budou uchovány v soukromí. Uloženo lokálně. S šifrováním na vojenské úrovni. A předán vám, a pouze vám. To je jen začátek našeho závazku chránit vás, vaši rodinu a vaše soukromí.
Moore také demonstroval, jak jsou tyto obrázky uchovávány na těchto serverech řízených Eufy i po vymazání záběrů. Ještě znepokojivější je, že mluvil o tom, jak bylo možné sledovat stream protokolu RTMP (Real-Time Messaging Protocol) z jeho kamery bez jakékoli autentizace. Neupřesnil, zda je to možné z externí sítě, nebo zda by někdo pro přístup k tomuto streamu musel být na stejné síti jako kamera. Připustil, že neukázal důkazy o této funkci, i když řekl, že to bylo kvůli potenciálnímu nebezpečí, že taková zranitelnost bude veřejně demonstrována.
Aby toho nebylo málo, Moore uvedl, že videa byla uložena zašifrovaná pomocí pevně zakódovaného bezpečnostního klíče „ZXSecurity17Cam@“, který ověřil, že je lokálně dešifroval. našel jsem neoficiální úložiště GitHub pro knihovnu Python z roku 2019 pro zařízení Eufy, která odkazuje na stejný šifrovací klíč, což naznačuje, že tomu tak je u několika kamer Eufy, které jsou tam venku.
Eufy odpovídá
Moore již dříve kontaktoval Eufy a sdílel svou odpověď na Twitteru. V e-mailu společnost potvrdila, že tyto obrázky ukládá na svých serverech, a upozornila na 24hodinovou expiraci. Společnost uvedla, že do svých API přidá další šifrování a nabídla Moore možnost otestovat své zařízení Homebase 3.
Pokud jde o to, co to všechno znamená, je těžké dělat nějaké celkové soudy o situaci, dokud nedojde k závěru. Oslovili jsme obě strany konverzace a zatím jsme se ještě neozvali. Nezbytně také neočekáváme, že se ozveme, protože Moore řekl, že mluvil s právním oddělením společnosti a v současné době se nebude dále vyjadřovat.
Co dělat s produkty Eufy
Pokud máte produkty Eufy a máte obavy z hlediska ochrany osobních údajů, možná by stálo za to je odpojit a počkat a uvidíme, co se stane dál. Není jasné, co přesně Eufy dělá, a bez dalších komentářů zúčastněných je těžké říci, do jaké míry se spotřebitelé musí znepokojovat. Zdá se jasné, že se mnozí spotřebitelé cítí klamáni, ale do jaké míry, není v tuto chvíli jasné.
Určitě budeme aktualizovat, jak se tento případ vleče, a očekáváme, že Eufy v blízké budoucnosti vydá prohlášení ve snaze rozptýlit obavy, které spotřebitelé mohou mít.