Если у вас есть камера видеонаблюдения Eufy, эти защищенные камеры могут быть не такими безопасными, как кажутся.
Если вы хорошо разбираетесь в безопасности, возможно, вы вложили средства в домашнюю безопасность с помощью камеры Eufy. Эти камеры, хотя и дорогие, особенны тем, что обещают никогда не хранить отснятый материал на удаленном компьютере. облачные серверы, работающие на одноранговой основе, если вы не хотите платить за облачное хранилище в отдельности. Однако Пол Мур, исследователь безопасности, обнаружил, что миниатюры и лица хранятся на серверах Eufy. Eufy — компания, принадлежащая Анкеру.
Мур показал в видеоролике на YouTube, как, даже когда его Eufy Homebase 2 выключен, он может просматривать миниатюру записи с камеры, хранящейся на серверах Eufy. Таким же образом можно увидеть лица, которые были идентифицированы на видеозаписи и которые также хранятся на серверах AWS, контролируемых Eufy. Кажется, что эти изображения будут удалены через 24 часа, но факт остается фактом: такие потребители, как Мур, чувствуют себя введенными в заблуждение. Учитывая, что Eufy часто заявляет, что конфиденциальность является основой ее работы, понятно, почему Мур (и другие потребители) так считают.
Приведенная ниже цитата взята из описания продукта Eufy на Amazon.
Ваша конфиденциальность — это то, что мы ценим так же, как и вы. Для начала мы делаем все возможное, чтобы обеспечить конфиденциальность ваших данных вместе с вами. Будь то плач вашего новорожденного по маме или победный танец после игры, ваши записанные кадры останутся конфиденциальными. Хранится локально. С шифрованием военного уровня. И передается вам, и только вам. Это только начало наших обязательств по защите вас, вашей семьи и вашей конфиденциальности.
Мур также продемонстрировал, как эти изображения сохраняются на серверах, контролируемых Eufy, даже после удаления отснятого материала. Еще более тревожно то, что он рассказал о том, как можно было просматривать поток протокола обмена сообщениями в реальном времени (RTMP) с его камеры без какой-либо аутентификации. Он не уточнил, возможно ли это из внешней сети или же для доступа к этому потоку кому-то нужно будет находиться в той же сети, что и камера. Он, по общему признанию, не продемонстрировал доказательства наличия этой функции, хотя и сказал, что это произошло из-за потенциальной опасности публичной демонстрации такой уязвимости.
Что еще хуже, Мур заявил, что видео хранились в зашифрованном виде с использованием жестко запрограммированного ключа безопасности «ZXSecurity17Cam@», который он проверил, расшифровал их локально. я нашел неофициальный репозиторий GitHub для библиотеки Python 2019 года. для устройств Eufy, которые ссылаются на один и тот же ключ шифрования, что позволяет предположить, что это относится к нескольким существующим камерам Eufy.
Юфи отвечает
Мур ранее связывался с Юфи и поделился своим ответом в Твиттере. В электронном письме компания подтвердила, что хранит эти изображения на своих серверах, и указала, что срок их действия составляет 24 часа. Компания заявила, что добавит дополнительное шифрование в свои API, и предложила Муру возможность протестировать свое устройство Homebase 3.
Что касается того, что все это означает, трудно делать какие-либо общие суждения о ситуации, пока не будет сделан какой-либо вывод. Мы обратились к обеим сторонам разговора и до сих пор не получили ответа. Мы также не ожидаем услышать ответ, поскольку Мур сказал, что разговаривал с юридическим отделом компании и в настоящее время не будет давать никаких дальнейших комментариев.
Что делать с продуктами Eufy
Если у вас есть продукты Eufy и вас беспокоит вопрос конфиденциальности, возможно, стоит отключить их и посмотреть, что будет дальше. Неясно, что именно делает Eufy, и без каких-либо дополнительных комментариев со стороны участников трудно сказать, в какой степени потребителям стоит беспокоиться. Кажется очевидным, что многие потребители чувствуют себя введенными в заблуждение, но в какой степени на данный момент неясно.
Мы обязательно будем информировать об этом по мере того, как дело затягивается, и ожидаем, что Eufy опубликует заявление в ближайшем будущем, пытаясь развеять опасения, которые могут возникнуть у потребителей.