De "beveiligde" camera's van Eufy zijn misschien niet zo veilig

Als je een Eufy-beveiligingscamera hebt, zijn deze beveiligde camera's mogelijk niet zo veilig als ze lijken.

Als je veel waarde hecht aan beveiliging, heb je misschien geïnvesteerd in huisbeveiliging via bijvoorbeeld een Eufy-camera. Deze camera's, hoewel prijzig, zijn bijzonder omdat ze beloven nooit beeldmateriaal op afstand op te slaan, cloudgebaseerde servers die op peer-to-peer-basis werken, tenzij u voor cloudopslag wilt betalen afzonderlijk. Paul Moore, een beveiligingsonderzoeker, heeft echter ontdekt dat thumbnails en gezichten worden opgeslagen op Eufy-servers. Eufy is een bedrijf van Anker.

Moore liet in een YouTube-video zien hoe hij, zelfs als zijn Eufy Homebase 2 is uitgeschakeld, een thumbnail kan bekijken van een camera-opname die op de servers van Eufy is opgeslagen. Op dezelfde manier zijn ook gezichten te zien die in de beelden zijn geïdentificeerd, en die worden ook opgeslagen op AWS-servers die worden beheerd door Eufy. Deze beelden lijken na 24 uur verwijderd te zijn, maar feit blijft dat consumenten als Moore zich misleid voelen. Gezien het feit dat Eufy vaak stelt dat privacy de kern van haar werking is, is het begrijpelijk waarom Moore (en andere consumenten) er zo over zouden denken.

Het onderstaande citaat is afkomstig uit een Eufy-productbeschrijving op Amazon.

Uw privacy is iets dat wij net zo waarderen als u. Om te beginnen ondernemen we alle denkbare stappen om ervoor te zorgen dat uw gegevens privé bij u blijven. Of het nu je pasgeboren baby is die om mama huilt, of je overwinningsdans na een wedstrijd, je opgenomen beelden blijven privé. Lokaal opgeslagen. Met codering op militair niveau. En naar jou verzonden, en alleen jij. Dat is nog maar het begin van onze toewijding om u, uw gezin en uw privacy te beschermen.

Moore demonstreerde ook hoe deze beelden op deze door Eufy gecontroleerde servers worden bewaard, zelfs nadat de beelden zijn verwijderd. Nog alarmerender is dat hij vertelde hoe het mogelijk was om een ​​Real-Time Messaging Protocol (RTMP)-stream vanaf zijn camera te bekijken zonder enige authenticatie. Hij maakte niet duidelijk of dit mogelijk was vanaf een extern netwerk, of dat iemand zich op hetzelfde netwerk als de camera zou moeten bevinden om toegang te krijgen tot deze stream. Hij heeft weliswaar geen bewijs van de functie laten zien, maar zei dat dit kwam door het potentiële gevaar dat een dergelijke kwetsbaarheid publiekelijk zou worden gedemonstreerd.

Wat de zaken nog erger maakte, verklaarde Moore dat video's versleuteld waren opgeslagen met behulp van een hardgecodeerde beveiligingssleutel van "ZXSecurity17Cam@", die hij heeft geverifieerd dat hij ze lokaal heeft gedecodeerd. ik vond een onofficiële GitHub-repository voor een Python-bibliotheek uit 2019 voor Eufy-apparaten dat verwijst naar dezelfde coderingssleutel, wat suggereert dat dit het geval is voor meerdere Eufy-camera's die er zijn.

Eufy reageert

Moore had eerder contact opgenomen met Eufy en zijn reactie op Twitter gedeeld. In de e-mail bevestigde het bedrijf dat het deze afbeeldingen op zijn servers opsloeg en wees op de vervaldatum van 24 uur. Het bedrijf zei dat het extra encryptie aan zijn API's zou toevoegen en bood Moore de mogelijkheid aan om zijn Homebase 3-apparaat uit te testen.

Wat dit allemaal betekent: het is moeilijk om een ​​algemeen oordeel over de situatie te geven totdat er een conclusie is. We hebben contact opgenomen met beide kanten van het gesprek en tot nu toe hebben we nog niets gehoord. We verwachten ook niet noodzakelijkerwijs iets terug te horen, aangezien Moore heeft gezegd dat hij met de juridische afdeling van het bedrijf heeft gesproken en momenteel geen verder commentaar zal geven.

Wat moet u doen met uw Eufy-producten?

Als u Eufy-producten heeft en u zich zorgen maakt vanuit privacyoogpunt, kan het de moeite waard zijn om deze los te koppelen en af ​​te wachten wat er daarna gebeurt. Het is onduidelijk wat Eufy precies doet, en zonder verder commentaar van de betrokkenen is het moeilijk te zeggen in welke mate consumenten zich zorgen moeten maken. Het lijkt duidelijk dat veel consumenten zich misleid voelen, maar in welke mate is op dit moment niet duidelijk.

We zullen zeker updaten naarmate deze zaak voortduurt, en we verwachten dat Eufy in de nabije toekomst een verklaring zal vrijgeven in een poging de zorgen van consumenten weg te nemen.