Ja jums ir Eufy drošības kamera, šīs drošās kameras var nebūt tik drošas, kā šķiet.
Ja jums interesē drošība, iespējams, esat ieguldījis mājas drošībā, piemēram, Eufy kameru. Šīs kameras, lai arī dārgas, ir īpašas ar to, ka tās sola nekad neuzglabāt kadrus tālvadības pultī, uz mākoņa bāzes serveri, kas darbojas vienādranga režīmā, ja vien nevēlaties maksāt par mākoņkrātuvi atsevišķi. Tomēr drošības pētnieks Pols Mūrs ir atklājis, ka Eufy serveros tiek glabāti sīktēli un sejas. Eufy ir uzņēmums, kas pieder Anker.
Mūrs YouTube videoklipā parādīja, kā pat tad, kad viņa Eufy Homebase 2 ir izslēgts, viņš var skatīt sīktēlu no kameras ieraksta, kas tiek glabāts Eufy serveros. Tādā pašā veidā var redzēt arī sejas, kas tika identificētas kadrā, un arī tās tiek glabātas AWS serveros, ko kontrolē Eufy. Šķiet, ka šie attēli tiek izdzēsti pēc 24 stundām, taču fakts joprojām ir tāds, ka patērētāji, piemēram, Mūrs, jūtas maldināti. Ņemot vērā to, ka Eufy bieži norāda, ka privātums ir tās darbības pamatā, ir saprotams, kāpēc Mūrs (un citi patērētāji) tā justos.
Tālāk sniegtais citāts ir ņemts no Eufy produkta apraksta vietnē Amazon.
Jūsu privātums ir kaut kas tāds, ko mēs vērtējam tikpat augstu kā jūs. Lai sāktu, mēs darām visu iespējamo, lai nodrošinātu jūsu datu privātumu ar jums. Neatkarīgi no tā, vai jaundzimušais raud pēc mammas, vai jūsu uzvaras deja pēc spēles, jūsu ierakstītie materiāli tiks saglabāti privāti. Uzglabāts lokāli. Ar militārā līmeņa šifrēšanu. Un pārraidīts jums, un tikai jums. Tas ir tikai sākums mūsu apņemšanās aizsargāt jūs, jūsu ģimeni un jūsu privātumu.
Mūrs arī demonstrēja, kā šie attēli tiek glabāti šajos Eufy kontrolētajos serveros pat pēc tam, kad materiāls ir izdzēsts. Vēl satraucošāk ir tas, ka viņš runāja par to, kā bija iespējams skatīt reāllaika ziņojumapmaiņas protokola (RTMP) straumi no viņa kameras bez jebkādas autentifikācijas. Viņš neprecizēja, vai tas ir iespējams no ārēja tīkla, vai arī kādam ir jābūt tajā pašā tīklā ar kameru, lai piekļūtu šai straumei. Viņš, protams, neparādīja pierādījumus par šo funkciju, lai gan teica, ka tas ir tāpēc, ka pastāv iespēja, ka šāda ievainojamība tiek demonstrēta publiski.
Vēl sliktāk, Mūrs paziņoja, ka videoklipi tika glabāti šifrēti, izmantojot cieto kodētu drošības atslēgu "ZXSecurity17Cam@", kas viņš pārbaudīja, ka tos atšifrēja lokāli. ES atradu neoficiāla GitHub repozitorija Python bibliotēkai no 2019. gada Eufy ierīcēm, kurās ir atsauce uz to pašu šifrēšanas atslēgu, kas liecina, ka tas attiecas uz vairākām Eufy kamerām.
Eifijs atbild
Mūrs iepriekš bija sazinājies ar Eufy un dalījies savā atbildē Twitter. E-pastā uzņēmums apstiprināja, ka glabā šos attēlus savos serveros, un norādīja uz 24 stundu derīguma termiņu. Uzņēmums paziņoja, ka pievienos papildu šifrēšanu saviem API, un piedāvāja Moore iespēju pārbaudīt savu Homebase 3 ierīci.
Kas attiecas uz to, ko tas viss nozīmē, ir grūti pieņemt vispārējus spriedumus par situāciju, līdz tiek izdarīts secinājums. Mēs sazinājāmies ar abām sarunas pusēm un līdz šim neesam dzirdējuši. Mēs arī negaidām, ka mēs uzklausīsim, jo Mūrs ir teicis, ka ir runājis ar uzņēmuma juridisko nodaļu un pašlaik nekomentēs.
Ko darīt ar saviem Eufy produktiem
Ja jums ir Eufy produkti un jūs uztraucaties no privātuma viedokļa, iespējams, ir vērts tos atvienot, lai gaidītu un redzētu, kas notiks tālāk. Nav skaidrs, ko tieši Eufy dara, un bez papildu komentāriem no iesaistītajām personām ir grūti pateikt, cik lielā mērā patērētājiem jāuztraucas. Šķiet skaidrs, ka daudzi patērētāji jūtas maldināti, taču šobrīd nav skaidrs, cik lielā mērā.
Mēs noteikti atjaunināsim, kad šī lieta ieilgs, un mēs sagaidām, ka Eufy tuvākajā nākotnē izdos paziņojumu, lai mēģinātu kliedēt patērētāju bažas.