Jos sinulla on Eufy-valvontakamera, nämä suojatut kamerat eivät välttämättä ole niin turvallisia kuin miltä ne näyttävät.
Jos olet kiinnostunut turvallisuudesta, olet ehkä sijoittanut kodin turvallisuuteen esimerkiksi Eufy-kameran avulla. Vaikka nämä kamerat ovat kalliita, ne ovat erityisiä siinä mielessä, että ne lupaavat koskaan tallentaa materiaalia kaukosäätimeen, pilvipohjaiset palvelimet, jotka toimivat peer-to-peer-periaatteella, ellet halua maksaa pilvitallennustilasta erikseen. Tietoturvatutkija Paul Moore on kuitenkin havainnut, että pikkukuvia ja kasvoja tallennetaan Eufy-palvelimille. Eufy on Ankerin omistama yritys.
Moore osoitti YouTube-videolla, kuinka hän voi katsoa pikkukuvaa Eufyn palvelimille tallennetusta kameran tallenteesta, vaikka hänen Eufy Homebase 2 on sammutettu. Samalla tavalla voidaan nähdä myös kuvamateriaalissa tunnistetut kasvot, ja ne on myös tallennettu Eufyn hallitsemille AWS-palvelimille. Nämä kuvat näyttävät poistuvan 24 tunnin kuluttua, mutta tosiasia on, että kuluttajat, kuten Moore, tuntevat olonsa harhaan johdetuiksi. Koska Eufy väittää usein, että yksityisyys on sen toiminnan ydin, on ymmärrettävää, miksi Moore (ja muut kuluttajat) ajattelevat näin.
Alla oleva lainaus on otettu Amazonin Eufy-tuotekuvauksesta.
Yksityisyytesi on asia, jota arvostamme yhtä paljon kuin sinä. Aluksi ryhdymme kaikkiin kuviteltavissa oleviin toimenpiteisiin varmistaaksemme, että tietosi ovat yksityisiä kanssasi. Olipa kyseessä vastasyntynyt äitisi itkeminen tai voittotanssi pelin jälkeen, tallennetut materiaalit pidetään yksityisinä. Säilytetty paikallisesti. Sotilasluokan salauksella. Ja välitetään sinulle ja vain sinulle. Tämä on vasta alkua sitoumuksellemme suojella sinua, perhettäsi ja yksityisyyttäsi.
Moore osoitti myös, kuinka näitä kuvia säilytetään näillä Eufyn ohjaamilla palvelimilla, vaikka kuvamateriaali on poistettu. Vielä huolestuttavampaa on, että hän puhui siitä, kuinka oli mahdollista katsella RTMP (Real-Time Messaging Protocol) -virtaa hänen kamerastaan ilman todennusta. Hän ei selventänyt, oliko se mahdollista ulkoisesta verkosta vai pitäisikö jonkun olla samassa verkossa kameran kanssa päästäkseen tähän streamiin. Hän ei tosin näyttänyt todisteita ominaisuudesta, vaikka sanoi tämän johtuvan mahdollisesta vaarasta, että tällainen haavoittuvuus esitellään julkisesti.
Asiaa pahensi Moore totesi, että videot tallennettiin salattuina käyttämällä kovakoodattua suojausavainta "ZXSecurity17Cam@", joka hän vahvisti purkaneen niiden salauksen paikallisesti. löysin epävirallinen GitHub-arkisto Python-kirjastolle vuodesta 2019 Eufy-laitteille, joissa viitataan samaan salausavaimeen, mikä viittaa siihen, että näin on useiden Eufy-kameroiden kohdalla.
Eufy vastaa
Moore oli aiemmin ottanut yhteyttä Eufyyn ja jakanut vastauksensa Twitterissä. Sähköpostissa yritys vahvisti, että se tallentaa nämä kuvat palvelimilleen ja huomautti 24 tunnin vanhenemisesta. Yritys sanoi lisäävänsä ylimääräistä salausta API-liittymiinsä ja tarjosi Moorelle mahdollisuuden testata Homebase 3 -laitettaan.
Mitä tulee siihen, mitä tämä kaikki tarkoittaa, on vaikea tehdä yleisiä arvioita tilanteesta ennen kuin se tulee päätökseen. Olemme tavoittaneet keskustelun molempia osapuolia, emmekä ole toistaiseksi saaneet vastausta. Emme myöskään välttämättä odota saavamme palautetta, sillä Moore on kertonut puhuneensa yhtiön lakiosaston kanssa eikä kommentoi tällä hetkellä enempää.
Mitä tehdä Eufy-tuotteillesi
Jos sinulla on Eufy-tuotteita ja olet huolissasi tietosuojan näkökulmasta, kannattaa ehkä irrottaa ne pistorasiasta odottaaksesi, mitä tapahtuu seuraavaksi. On epäselvää, mitä Eufy tarkalleen tekee, ja ilman asianosaisten kommentteja on vaikea sanoa, missä määrin kuluttajien on huolehdittava. Näyttää selvältä, että monet kuluttajat tuntevat olevansa harhaan johdettuja, mutta missä määrin, ei ole tällä hetkellä selvää.
Päivitämme varmasti tapauksen edetessä, ja odotamme, että Eufy julkaisee lausunnon lähitulevaisuudessa yrittääkseen hälventää kuluttajien huolenaiheita.