Eufys "sikre" kameraer er måske ikke så sikre

Hvis du har et Eufy-sikkerhedskamera, er disse sikre kameraer muligvis ikke så sikre, som de ser ud til.

Hvis du er stor på sikkerhed, har du måske investeret i sikkerhed i hjemmet gennem f.eks. et Eufy-kamera. Selvom disse kameraer er dyre, er de specielle ved, at de lover aldrig at gemme optagelser på fjernbetjeningen, cloud-baserede servere, der fungerer på peer-to-peer-basis, medmindre du ønsker at betale for cloud-lagring separat. Paul Moore, en sikkerhedsforsker, har dog opdaget, at thumbnails og ansigter bliver gemt på Eufy-servere. Eufy er et selskab ejet af Anker.

Moore viste i en YouTube-video, hvordan han, selv når hans Eufy Homebase 2 er slukket, kan se et miniaturebillede fra en kameraoptagelse, der er gemt på Eufys servere. På samme måde kan ansigter også ses, der blev identificeret i optagelserne, og de er også gemt på AWS-servere, der kontrolleres af Eufy. Disse billeder ser ud til at blive slettet efter 24 timer, men faktum er, at forbrugere som Moore føler sig vildledt. I betragtning af at Eufy ofte siger, at privatlivets fred er hjertet af dets drift, er det forståeligt, hvorfor Moore (og andre forbrugere) ville have det sådan.

Nedenstående citat er taget fra en Eufy produktbeskrivelse på Amazon.

Dit privatliv er noget, vi værdsætter lige så meget som dig. Til at starte med tager vi alle tænkelige skridt for at sikre, at dine data er private sammen med dig. Uanset om det er din nyfødte, der græder efter mor, eller din sejrsdans efter et spil, vil dine optagede optagelser blive holdt private. Opbevares lokalt. Med kryptering af militærkvalitet. Og overført til dig, og kun dig. Det er kun begyndelsen på vores forpligtelse til at beskytte dig, din familie og dit privatliv.

Moore demonstrerede også, hvordan disse billeder opbevares på disse Eufy-kontrollerede servere, selv efter at optagelserne er slettet. Endnu mere alarmerende er det, at han talte om, hvordan det var muligt at se en Real-Time Messaging Protocol (RTMP)-stream fra sit kamera uden nogen form for godkendelse. Han afklarede ikke, om det var muligt fra et eksternt netværk, eller om nogen skulle være på samme netværk som kameraet for at få adgang til denne stream. Han viste ganske vist ikke beviser for funktionen, men sagde, at dette var på grund af den potentielle fare for, at en sådan sårbarhed blev demonstreret offentligt.

For at gøre tingene værre, sagde Moore, at videoer blev gemt krypteret ved hjælp af en hårdkodet sikkerhedsnøgle af "ZXSecurity17Cam@", som han bekræftede dekrypterede dem lokalt. jeg fandt et uofficielt GitHub-depot til et Python-bibliotek fra 2019 for Eufy-enheder, der henviser til den samme krypteringsnøgle, hvilket tyder på, at dette er tilfældet for flere Eufy-kameraer, der er derude.

Eufy svarer

Moore havde tidligere kontaktet Eufy og delt sit svar på Twitter. I e-mailen bekræftede virksomheden, at den gemte disse billeder på sine servere, og påpegede 24-timers udløbet. Virksomheden sagde, at det ville tilføje yderligere kryptering til sine API'er, og tilbød Moore muligheden for at teste sin Homebase 3-enhed.

Hvad alt dette betyder, er det svært at foretage en samlet vurdering af situationen, før den kommer til en konklusion. Vi nåede ud til begge sider af samtalen og har endnu ikke hørt tilbage. Vi forventer heller ikke nødvendigvis at høre tilbage, da Moore har sagt, at han har talt med virksomhedens juridiske afdeling og ikke vil kommentere yderligere i øjeblikket.

Hvad skal du gøre med dine Eufy-produkter

Hvis du har Eufy-produkter og er bekymret ud fra et privatlivssynspunkt, kan det være værd at afbryde dem for at vente og se, hvad der derefter sker. Det er uklart, hvad Eufy præcis laver, og uden yderligere kommentarer fra de involverede, er det svært at sige, i hvilken grad forbrugerne skal bekymre sig. Det lader til at være klart, at mange forbrugere føler sig vildledt, men i hvilken grad er ikke klart i øjeblikket.

Vi vil være sikker på at opdatere, efterhånden som denne sag trækker ud, og vi forventer, at Eufy vil frigive en erklæring i den nærmeste fremtid i et forsøg på at dæmpe bekymringer, som forbrugerne måtte have.