Jeśli masz kamerę bezpieczeństwa Eufy, te bezpieczne kamery mogą nie być tak bezpieczne, jak się wydaje.
Jeśli zależy Ci na bezpieczeństwie, być może zainwestowałeś w bezpieczeństwo w domu za pomocą kamery Eufy. Te kamery, choć drogie, są wyjątkowe, ponieważ obiecują, że nigdy nie będą przechowywać materiału na pilocie, serwery w chmurze, działające na zasadzie peer-to-peer, chyba że chcesz płacić za przechowywanie w chmurze osobno. Jednak Paul Moore, badacz bezpieczeństwa, odkrył, że miniatury i twarze są przechowywane na serwerach Eufy. Eufy to firma, której właścicielem jest Anker.
W filmie na YouTube Moore pokazał, jak nawet po wyłączeniu Eufy Homebase 2 może wyświetlić miniaturę z nagrania z kamery przechowywanego na serwerach Eufy. W ten sam sposób można zobaczyć także twarze zidentyfikowane na nagraniu, które również są przechowywane na serwerach AWS kontrolowanych przez Eufy. Wydaje się, że zdjęcia te są usuwane po 24 godzinach, ale faktem jest, że konsumenci tacy jak Moore czują się wprowadzeni w błąd. Biorąc pod uwagę, że Eufy często twierdzi, że prywatność jest sercem jej działania, zrozumiałe jest, dlaczego Moore (i inni konsumenci) mieliby takie zdanie.
Poniższy cytat pochodzi z opisu produktu Eufy na Amazon.
Twoja prywatność jest czymś, co cenimy tak samo jak Ty. Na początek podejmujemy wszelkie możliwe kroki, aby zapewnić prywatność Twoich danych. Niezależnie od tego, czy jest to płacz noworodka za mamą, czy taniec zwycięstwa po meczu, nagrany materiał pozostanie prywatny. Przechowywane lokalnie. Z szyfrowaniem na poziomie wojskowym. I przekazane tobie i tylko tobie. To dopiero początek naszego zaangażowania w ochronę Ciebie, Twojej rodziny i Twojej prywatności.
Moore pokazał także, w jaki sposób te obrazy są przechowywane na serwerach kontrolowanych przez Eufy nawet po usunięciu materiału filmowego. Jeszcze bardziej niepokojące jest to, że mówił o tym, jak możliwe było oglądanie strumienia protokołu przesyłania wiadomości w czasie rzeczywistym (RTMP) z jego kamery bez żadnego uwierzytelniania. Nie wyjaśnił, czy jest to możliwe z sieci zewnętrznej lub czy ktoś musiałby być w tej samej sieci co kamera, aby uzyskać dostęp do tego strumienia. Co prawda nie pokazał dowodów na istnienie tej funkcji, chociaż stwierdził, że dzieje się tak ze względu na potencjalne niebezpieczeństwo publicznego zaprezentowania takiej luki.
Co gorsza, Moore stwierdził, że filmy były przechowywane zaszyfrowane przy użyciu zakodowanego na stałe klucza bezpieczeństwa „ZXSecurity17Cam@”, który potwierdził, że odszyfrował je lokalnie. znalazłem nieoficjalne repozytorium GitHub dla biblioteki Pythona z 2019 roku dla urządzeń Eufy, który odnosi się do tego samego klucza szyfrowania, co sugeruje, że dotyczy to wielu dostępnych kamer Eufy.
Eufy odpowiada
Moore skontaktował się już wcześniej z Eufy i podzielił się swoją odpowiedzią na Twitterze. W e-mailu firma potwierdziła, że przechowuje te obrazy na swoich serwerach i wskazała 24-godzinny okres ważności. Firma oświadczyła, że doda dodatkowe szyfrowanie do swoich interfejsów API i zaoferowała Moore'owi możliwość przetestowania urządzenia Homebase 3.
Jeśli chodzi o znaczenie tego wszystkiego, trudno jest dokonać ogólnej oceny sytuacji, dopóki nie dojdzie do wniosków. Skontaktowaliśmy się z obiema stronami rozmowy i jak dotąd nie otrzymaliśmy odpowiedzi. Niekoniecznie spodziewamy się odpowiedzi, ponieważ Moore powiedział, że rozmawiał z działem prawnym firmy i obecnie nie będzie udzielał dalszych komentarzy.
Co zrobić z produktami Eufy
Jeśli masz produkty Eufy i obawiasz się o prywatność, warto je odłączyć, aby poczekać i zobaczyć, co stanie się dalej. Nie jest jasne, co dokładnie robi Eufy, a bez dalszych komentarzy ze strony zaangażowanych osób trudno powiedzieć, w jakim stopniu konsumenci powinni się martwić. Wydaje się jasne, że wielu konsumentów czuje się wprowadzonych w błąd, ale w tym momencie nie jest jasne, w jakim stopniu.
Będziemy na pewno aktualizować informacje w miarę przeciągania się tej sprawy i spodziewamy się, że Eufy wyda w najbliższej przyszłości oświadczenie, próbując rozwiać obawy konsumentów.