Hvis du har et Eufy sikkerhetskamera, kan det hende at disse sikre kameraene ikke er så sikre som de ser ut til.
Hvis du er stor på sikkerhet, har du kanskje investert i hjemmesikkerhet gjennom slike som et Eufy-kamera. Selv om disse kameraene er dyre, er de spesielle ved at de lover å aldri lagre opptak på fjernkontrollen, skybaserte servere, som opererer på peer-to-peer-basis med mindre du ønsker å betale for skylagring hver for seg. Paul Moore, en sikkerhetsforsker, har imidlertid oppdaget at miniatyrbilder og ansikter blir lagret på Eufy-servere. Eufy er et selskap eid av Anker.
Moore viste i en YouTube-video hvordan han, selv når Eufy Homebase 2 er slått av, kan se et miniatyrbilde fra et kameraopptak som er lagret på Eufys servere. På samme måte kan ansikter også sees som ble identifisert i opptakene, og de er også lagret på AWS-servere kontrollert av Eufy. Disse bildene ser ut til å bli slettet etter 24 timer, men faktum er at forbrukere som Moore føler seg villedet. Gitt at Eufy ofte uttaler at personvern er hjertet av driften, er det forståelig hvorfor Moore (og andre forbrukere) ville føle det slik.
Sitatet nedenfor er hentet fra en Eufy-produktbeskrivelse på Amazon.
Personvernet ditt er noe vi verdsetter like mye som deg. Til å begynne med tar vi alle tenkelige skritt for å sikre at dataene dine er private sammen med deg. Enten det er den nyfødte som gråter etter mor, eller seiersdansen din etter en kamp, vil opptakene dine holdes private. Lagret lokalt. Med kryptering av militærkvalitet. Og overført til deg, og bare deg. Det er bare starten på vår forpliktelse til å beskytte deg, din familie og ditt privatliv.
Moore demonstrerte også hvordan disse bildene holdes på disse Eufy-kontrollerte serverne selv etter at opptakene er slettet. Enda mer alarmerende er det at han snakket om hvordan det var mulig å se en sanntidsmeldingsprotokoll (RTMP)-strøm fra kameraet sitt uten autentisering. Han avklarte ikke om det var mulig fra et eksternt nettverk, eller om noen måtte være på samme nettverk som kameraet for å få tilgang til denne strømmen. Han viste riktignok ikke bevis for funksjonen, men sa at dette var på grunn av den potensielle faren for at en slik sårbarhet ble demonstrert offentlig.
For å gjøre saken verre, uttalte Moore at videoer ble lagret kryptert med en hardkodet sikkerhetsnøkkel til "ZXSecurity17Cam@", som han bekreftet dekrypterte dem lokalt. jeg fant et uoffisielt GitHub-depot for et Python-bibliotek fra 2019 for Eufy-enheter som refererer til den samme krypteringsnøkkelen, noe som antyder at dette er tilfellet for flere Eufy-kameraer som er der ute.
Eufy svarer
Moore hadde tidligere kontaktet Eufy og delt svaret på Twitter. I e-posten bekreftet selskapet at det lagret disse bildene på sine servere, og påpekte 24-timers utløp. Selskapet sa at det ville legge til ytterligere kryptering til API-ene, og tilbød Moore muligheten til å teste ut Homebase 3-enheten.
Når det gjelder hva alt dette betyr, er det vanskelig å gjøre noen generelle vurderinger av situasjonen før den kommer til en konklusjon. Vi nådde ut til begge sider av samtalen og har ennå ikke hørt tilbake. Vi forventer ikke nødvendigvis å høre tilbake heller, ettersom Moore har sagt at han har snakket med selskapets juridiske avdeling og ikke vil kommentere ytterligere for øyeblikket.
Hva du skal gjøre med Eufy-produktene dine
Hvis du har Eufy-produkter og er bekymret fra et personvernsynspunkt, kan det være verdt å koble fra dem for å vente og se hva som skjer videre. Det er uklart nøyaktig hva Eufy gjør, og uten ytterligere kommentarer fra de involverte, er det vanskelig å si i hvilken grad forbrukerne trenger å bekymre seg. Det virker klart at mange forbrukere føler seg villedet, men i hvilken grad er ikke klart for øyeblikket.
Vi kommer garantert til å oppdatere ettersom denne saken drar utover, og vi forventer at Eufy vil gi ut en uttalelse i nær fremtid i et forsøk på å dempe bekymringer som forbrukere kan ha.