Ako imate sigurnosnu kameru Eufy, ove sigurnosne kamere možda nisu tako sigurne kao što se čine.
Ako ste veliki po pitanju sigurnosti, možda ste uložili u sigurnost doma putem Eufy kamere. Ove kamere, iako su skupe, posebne su po tome što obećavaju da nikada neće pohranjivati snimke na daljinski, poslužitelji temeljeni na oblaku, koji rade na ravnopravnoj osnovi osim ako ne želite platiti za pohranu u oblaku odvojeno. Međutim, Paul Moore, sigurnosni istraživač, otkrio je da se sličice i lica pohranjuju na Eufy poslužiteljima. Eufy je tvrtka u vlasništvu Ankera.
Moore je u videu na YouTubeu pokazao kako, čak i kada je njegov Eufy Homebase 2 isključen, može vidjeti sličicu sa snimke kamere koja je pohranjena na Eufyjevim poslužiteljima. Na isti način se mogu vidjeti i lica koja su identificirana na snimci, a koja su također pohranjena na AWS serverima koje kontrolira Eufy. Čini se da se ove slike brišu nakon 24 sata, ali ostaje činjenica da se korisnici kao što je Moore osjećaju zavedeni. S obzirom na to da Eufy često navodi da je privatnost srce njegovog rada, razumljivo je zašto bi se Moore (i drugi potrošači) tako osjećali.
Donji citat preuzet je iz opisa proizvoda Eufy na Amazonu.
Vaša privatnost je nešto što cijenimo jednako kao i vi. Za početak, poduzimamo sve moguće korake kako bismo osigurali privatnost vaših podataka s vama. Bilo da vaše novorođenče plače za mamom ili vaš pobjednički ples nakon utakmice, vaši snimljeni snimci ostat će privatni. Pohranjeno lokalno. S vojnom enkripcijom. I prenosi se tebi, i samo tebi. To je samo početak naše predanosti zaštiti vas, vaše obitelji i vaše privatnosti.
Moore je također demonstrirao kako se te slike čuvaju na tim poslužiteljima koje kontrolira Eufy čak i nakon što se snimak izbriše. Još je alarmantnije to što je govorio o tome kako je moguće vidjeti stream protokola za slanje poruka u stvarnom vremenu (RTMP) sa svoje kamere bez ikakve provjere autentičnosti. Nije pojasnio je li to moguće s vanjske mreže ili bi netko trebao biti na istoj mreži kao i kamera da bi pristupio ovom streamu. Doduše, nije pokazao dokaze značajke, iako je rekao da je to zbog potencijalne opasnosti da se takva ranjivost javno pokaže.
Da stvar bude još gora, Moore je izjavio da su videozapisi pohranjeni šifrirani korištenjem tvrdo kodiranog sigurnosnog ključa "ZXSecurity17Cam@", koji potvrdio je da ih je lokalno dešifrirao. našao sam neslužbeno GitHub spremište za Python biblioteku iz 2019 za Eufy uređaje koji upućuje na taj isti ključ za šifriranje, što sugerira da je to slučaj za više Eufy kamera koje postoje.
Eufy odgovara
Moore je prethodno kontaktirao Eufy i podijelio njegov odgovor na Twitteru. U e-poruci je tvrtka potvrdila da pohranjuje te slike na svojim poslužiteljima i istaknula rok trajanja od 24 sata. Tvrtka je rekla da će dodati dodatnu enkripciju svojim API-jima i ponudila Mooreu mogućnost da testira svoj Homebase 3 uređaj.
Što se tiče toga što sve ovo znači, teško je donijeti bilo kakvu opću prosudbu o situaciji dok se ne donese zaključak. Obratili smo se objema stranama razgovora i do sada nam se nisu javili. Ne očekujemo nužno ni odgovor, jer je Moore rekao da je razgovarao s pravnim odjelom tvrtke i da trenutno neće dalje komentirati.
Što učiniti sa svojim Eufy proizvodima
Ako imate Eufy proizvode i zabrinuti ste sa stajališta privatnosti, možda bi bilo vrijedno isključiti ih i pričekati da vidite što će se sljedeće dogoditi. Nejasno je što točno Eufy radi, a bez ikakvih daljnjih komentara od strane uključenih, teško je reći u kojoj se mjeri potrošači trebaju brinuti. Čini se jasnim da se mnogi potrošači osjećaju zavedeni, ali u kojoj mjeri trenutno nije jasno.
Obavezno ćemo ažurirati kako se ovaj slučaj bude odugovlačio i očekujemo da će Eufy objaviti izjavu u bliskoj budućnosti u pokušaju da otkloni zabrinutosti koje potrošači mogu imati.