Eufy "turvalised" kaamerad ei pruugi olla nii turvalised

Kui teil on Eufy turvakaamera, ei pruugi need turvakaamerad olla nii turvalised, kui tundub.

Kui olete turvalisusest huvitatud, oleksite võib-olla investeerinud kodu turvalisusesse näiteks Eufy kaamera abil. Need kaamerad, kuigi kallid, on erilised selle poolest, et lubavad, et nad ei salvesta kunagi kaadrit pulti, pilvepõhised serverid, mis töötavad peer-to-peer põhimõttel, kui te ei soovi pilvesalvestuse eest maksta eraldi. Turvateadlane Paul Moore on aga avastanud, et pisipilte ja nägusid salvestatakse Eufy serveritesse. Eufy on Ankerile kuuluv ettevõte.

Moore näitas YouTube'i videos, kuidas isegi siis, kui tema Eufy Homebase 2 on välja lülitatud, saab ta vaadata pisipilti kaamerasalvestisest, mis on salvestatud Eufy serveritesse. Samamoodi on näha ka kaadrites tuvastatud nägusid ja need on samuti salvestatud Eufy kontrollitavatesse AWS-i serveritesse. Näib, et need pildid kustutatakse 24 tunni pärast, kuid faktiks jääb see, et tarbijad, nagu Moore, tunnevad end eksitatuna. Arvestades, et Eufy väidab sageli, et privaatsus on selle tegevuse keskmes, on arusaadav, miks Moore (ja teised tarbijad) nii tunnevad.

Allolev tsitaat on võetud Amazoni Eufy tootekirjeldusest.

Teie privaatsus on midagi, mida hindame sama palju kui teie. Alustuseks teeme kõik võimalikud sammud, et tagada teie andmete privaatsus teiega. Olenemata sellest, kas teie vastsündinu nutab ema järele, või teie võidutants pärast mängu, teie salvestatud kaadrid jäävad privaatseks. Säilitatakse kohapeal. Sõjaväelise krüptimisega. Ja edastatakse teile ja ainult teile. See on alles algus meie pühendumusele kaitsta teid, teie perekonda ja teie privaatsust.

Moore demonstreeris ka, kuidas neid pilte hoitakse nendes Eufy juhitavates serverites isegi pärast filmi kustutamist. Veelgi murettekitavam on see, et ta rääkis sellest, kuidas oli võimalik vaadata tema kaamerast reaalajas sõnumsideprotokolli (RTMP) voogu ilma autentimiseta. Ta ei täpsustanud, kas see on võimalik välisvõrgust või peab keegi sellele voogu pääsemiseks olema kaameraga samas võrgus. Tõsi, ta ei näidanud selle funktsiooni kohta tõendeid, kuigi ütles, et selle põhjuseks oli potentsiaalne oht, et sellist haavatavust näidatakse avalikult.

Asja teeb hullemaks see, et Moore väitis, et videod salvestati krüpteeritult, kasutades kõvakodeeritud turvavõtit "ZXSecurity17Cam@", mis ta kontrollis, et dekrüpteeris need kohapeal. ma leidsin mitteametlik GitHubi hoidla Pythoni teegi jaoks alates 2019. aastast Eufy seadmete puhul, mis viitavad samale krüpteerimisvõtmele, mis viitab sellele, et see kehtib mitme seal oleva Eufy kaamera puhul.

Eufy vastab

Moore oli varem Eufyga ühendust võtnud ja oma vastust Twitteris jaganud. E-kirjas kinnitas ettevõte, et salvestab need pildid oma serveritesse, ja juhtis tähelepanu 24-tunnisele aegumisele. Ettevõte teatas, et lisab oma API-dele täiendava krüptimise ja pakkus Moore'ile võimalust oma Homebase 3 seadet testida.

Mis puutub sellesse, mida see kõik tähendab, siis on raske anda olukorrale üldist hinnangut enne, kui see on jõudnud järeldusele. Jõudsime vestluse mõlemale poolele ja pole siiani vastust kuulnud. Me ei oota ka kindlasti vastust kuulda, kuna Moore on öelnud, et on rääkinud ettevõtte juriidilise osakonnaga ega kommenteeri praegu rohkem.

Mida teha oma Eufy toodetega

Kui teil on Eufy tooteid ja olete privaatsuse seisukohast mures, tasub need vooluvõrgust lahti ühendada, et oodata ja vaadata, mis edasi saab. On ebaselge, mida Eufy täpselt teeb, ja ilma asjaosaliste täiendavate kommentaarideta on raske öelda, mil määral peavad tarbijad muretsema. Näib selge, et paljud tarbijad tunnevad end eksitatuna, kuid mil määral, pole praegu selge.

Värskendame kindlasti, kui see juhtum venib, ja eeldame, et Eufy avaldab lähitulevikus avalduse, et leevendada tarbijate muresid.