ייתכן שהמצלמות ה"מאובטחות" של Eufy אינן כל כך מאובטחות

בית חכםNov 13, 2023
click fraud protection

אם יש לך מצלמת אבטחה של Eufy, ייתכן שמצלמות מאובטחות אלו אינן מאובטחות כפי שהן נראות.

אם אתה גדול באבטחה, ייתכן שהשקעת באבטחת הבית באמצעות מצלמת Eufy. המצלמות הללו, אף שהן יקרות, מיוחדות בכך שהן מבטיחות לעולם לא לאחסן צילומים בשלט, שרתים מבוססי ענן, הפועלים על בסיס עמית לעמית אלא אם כן ברצונך לשלם עבור אחסון בענן לְחוּד. עם זאת, פול מור, חוקר אבטחה, גילה שתמונות ממוזערות ופנים מאוחסנים בשרתי Eufy. Eufy היא חברה בבעלות אנקר.

מור הראה בסרטון יוטיוב כיצד, גם כאשר Eufy Homebase 2 שלו כבוי, הוא יכול לצפות בתמונה ממוזערת מהקלטת מצלמה המאוחסנת בשרתים של Eufy. באותו אופן, ניתן לראות גם פרצופים שזוהו בצילומים, ואלה מאוחסנים גם בשרתי AWS בשליטת Eufy. נראה שהתמונות הללו נמחקות לאחר 24 שעות, אך העובדה היא שצרכנים כמו מור מרגישים שולל. בהתחשב בכך ש-Eufy מצהירה לעתים קרובות שפרטיות היא לב הפעילות שלה, אפשר להבין מדוע מור (וצרכנים אחרים) ירגישו כך.

הציטוט שלהלן לקוח מתיאור מוצר Eufy באמזון.

הפרטיות שלך היא משהו שאנחנו מעריכים כמוך. כדי להתחיל, אנחנו נוקטים בכל צעד שאפשר להעלות על הדעת כדי להבטיח שהנתונים שלך פרטיים איתך. בין אם זה הרך הנולד שלך בוכה לאמא, או ריקוד הניצחון שלך לאחר משחק, הצילומים שלך יישארו פרטיים. מאוחסן במקום. עם הצפנה בדרגה צבאית. והועבר אליך, ורק אתה. זו רק ההתחלה של המחויבות שלנו להגן עליך, על משפחתך ועל הפרטיות שלך.

מור גם הדגים כיצד התמונות הללו נשמרות בשרתים הנשלטים על ידי Eufy גם לאחר מחיקת הצילומים. אפילו יותר מדאיג הוא שהוא דיבר על איך אפשר לצפות בזרם של פרוטוקול הודעות בזמן אמת (RTMP) מהמצלמה שלו ללא כל אימות. הוא לא הבהיר אם זה אפשרי מרשת חיצונית, או אם מישהו יצטרך להיות באותה רשת כמו המצלמה כדי לגשת לזרם הזה. הוא אמנם לא הראה ראיות לתכונה, אם כי אמר שזה בגלל הסכנה הפוטנציאלית של פגיעות כזו שתוצג בפומבי.

מה שהופך את המצב לגרוע יותר, מור הצהיר שסרטונים אוחסנו מוצפנים באמצעות מפתח אבטחה מקודד של "ZXSecurity17Cam@", אשר הוא אימת שפוענח אותם באופן מקומי. מצאתי מאגר GitHub לא רשמי עבור ספריית Python מ-2019 עבור מכשירי Eufy שמתייחסים לאותו מפתח הצפנה, מה שמרמז שזה המקרה עבור מצלמות Eufy מרובות שנמצאות שם בחוץ.

אופי מגיב

מור יצרה קשר בעבר עם Eufy ושיתפה את תגובתה בטוויטר. במייל אישרה החברה שהיא מאחסנת את התמונות הללו בשרתים שלה, והצביעה על התפוגה של 24 שעות. החברה אמרה שהיא תוסיף הצפנה נוספת לממשקי ה-API שלה, והציעה למור את היכולת לבדוק את מכשיר ה-Homebase 3 שלה.

לגבי המשמעות של כל זה, קשה לעשות שיפוט כולל של המצב עד שהוא מגיע למסקנה. הגענו לשני הצדדים של השיחה ועד כה טרם שמענו. אנחנו גם לא בהכרח מצפים לשמוע בחזרה, שכן מור אמר שהוא שוחח עם המחלקה המשפטית של החברה ולא יגיב יותר כרגע.

מה לעשות עם מוצרי Eufy שלך

אם יש לכם מוצרי Eufy ואתם מודאגים מנקודת מבט של פרטיות, אולי כדאי לנתק אותם מהחשמל כדי לחכות ולראות מה יקרה אחר כך. לא ברור מה בדיוק Eufy עושה, וללא הערות נוספות מהמעורבים, קשה לומר באיזו מידה הצרכנים צריכים לדאוג. נראה ברור שצרכנים רבים חשים שולל, אבל באיזו מידה לא ברור כרגע.

אנו נדאג לעדכן ככל שהמקרה הזה יתארך, ואנו מצפים ש-Eufy תשחרר הצהרה בעתיד הקרוב בניסיון להפיג את החששות שיש לצרכנים.