Jei turite „Eufy“ apsaugos kamerą, šios saugios kameros gali būti ne tokios saugios, kaip atrodo.
Jei jums rūpi saugumas, galbūt investavote į namų saugumą, pavyzdžiui, „Eufy“ fotoaparatą. Šios kameros, nors ir brangios, yra ypatingos tuo, kad žada niekada nekaupti filmuotos medžiagos nuotolinio valdymo pulte, debesies pagrindu veikiantys serveriai, veikiantys lygiaverčiu principu, nebent norite mokėti už saugyklą debesyje atskirai. Tačiau saugumo tyrinėtojas Paulas Moore'as išsiaiškino, kad miniatiūros ir veidai yra saugomi „Eufy“ serveriuose. „Eufy“ yra „Anker“ priklausanti įmonė.
Moore'as „YouTube“ vaizdo įraše parodė, kaip net kai jo „Eufy Homebase 2“ yra išjungtas, jis gali peržiūrėti miniatiūrą iš fotoaparato įrašo, kuris saugomas „Eufy“ serveriuose. Lygiai taip pat galima pamatyti veidus, kurie buvo identifikuoti filmuotoje medžiagoje, ir jie taip pat saugomi Eufy valdomuose AWS serveriuose. Atrodo, kad šie vaizdai ištrinami po 24 valandų, tačiau faktas išlieka toks, kad vartotojai, tokie kaip Moore'as, jaučiasi suklaidinti. Atsižvelgiant į tai, kad Eufy dažnai teigia, kad privatumas yra jos veiklos esmė, suprantama, kodėl Moore (ir kiti vartotojai) taip jaučiasi.
Žemiau pateikta citata paimta iš „Eufy“ produkto aprašymo „Amazon“.
Jūsų privatumas yra kažkas, ką vertiname taip pat, kaip ir jūs. Norėdami pradėti, imamės visų įmanomų žingsnių, kad jūsų duomenys būtų privatūs su jumis. Nesvarbu, ar tai jūsų naujagimis verkia dėl mamos, ar jūsų pergalės šokis po žaidimo, jūsų įrašyta filmuota medžiaga bus saugoma privačiai. Saugomi vietoje. Su karinio lygio šifravimu. Ir perduodama tau, ir tik tau. Tai tik mūsų įsipareigojimo apsaugoti jus, jūsų šeimą ir jūsų privatumą pradžia.
Moore'as taip pat pademonstravo, kaip šie vaizdai saugomi šiuose „Eufy“ valdomuose serveriuose net ištrynus filmuotą medžiagą. Dar labiau nerimą kelia tai, kad jis kalbėjo apie tai, kaip buvo įmanoma žiūrėti realaus laiko pranešimų protokolo (RTMP) srautą iš jo fotoaparato be jokio autentifikavimo. Jis nepaaiškino, ar tai įmanoma iš išorinio tinklo, ar kas nors turi būti tame pačiame tinkle kaip kamera, kad galėtų pasiekti šį srautą. Tiesa, jis neparodė šios funkcijos įrodymų, tačiau teigė, kad taip yra dėl galimo pavojaus, kad toks pažeidžiamumas bus parodytas viešai.
Dar blogiau, Moore'as pareiškė, kad vaizdo įrašai buvo saugomi užšifruoti naudojant užkoduotą „ZXSecurity17Cam@“ saugos raktą. jis patikrino, kad iššifravo juos vietoje. aš radau neoficiali „Python“ bibliotekos „GitHub“ saugykla nuo 2019 m „Eufy“ įrenginiams, kuriuose daroma nuoroda į tą patį šifravimo raktą, o tai rodo, kad taip yra su keliomis „Eufy“ kameromis.
Eufy atsako
Moore'as anksčiau susisiekė su Eufy ir pasidalino savo atsakymu Twitter. El. laiške bendrovė patvirtino, kad šiuos vaizdus saugo savo serveriuose, ir nurodė, kad galiojimo laikas baigiasi 24 valandas. Bendrovė teigė, kad ji pridės papildomą šifravimą prie savo API ir pasiūlė Moore galimybę išbandyti savo „Homebase 3“ įrenginį.
Kalbant apie tai, ką visa tai reiškia, sunku priimti bendrus sprendimus apie situaciją, kol nebus padaryta išvada. Susisiekėme su abiem pokalbio pusėmis ir iki šiol dar negirdėjome. Mes taip pat nebūtinai tikimės išgirsti, nes Moore'as sakė, kad kalbėjosi su bendrovės teisės skyriumi ir šiuo metu daugiau nekomentuos.
Ką daryti su savo Eufy produktais
Jei turite „Eufy“ produktų ir nerimaujate dėl privatumo, gali būti verta juos atjungti ir palaukti, kas nutiks toliau. Neaišku, ką tiksliai veikia „Eufy“, ir be jokių papildomų komentarų iš susijusių asmenų sunku pasakyti, kiek vartotojams reikia nerimauti. Atrodo aišku, kad daugelis vartotojų jaučiasi suklaidinti, tačiau šiuo metu neaišku, kiek.
Mes būtinai atnaujinsime, kai ši byla užsitęs, ir tikimės, kad „Eufy“ artimiausiu metu paskelbs pranešimą, siekdamas išsklaidyti vartotojų susirūpinimą.