Ak máte bezpečnostnú kameru Eufy, tieto bezpečné kamery nemusia byť také bezpečné, ako sa zdá.
Ak ste veľký v oblasti bezpečnosti, možno ste investovali do zabezpečenia domácnosti prostredníctvom kamery Eufy. Tieto kamery, aj keď sú drahé, sú špeciálne v tom, že sľubujú, že nikdy nebudú ukladať zábery na diaľkové ovládanie, cloudové servery fungujúce na báze peer-to-peer, pokiaľ nechcete platiť za cloudové úložisko oddelene. Paul Moore, bezpečnostný výskumník, však zistil, že miniatúry a tváre sa ukladajú na servery Eufy. Eufy je spoločnosť vlastnená Ankerom.
Moore vo videu na YouTube ukázal, ako aj keď je jeho Eufy Homebase 2 vypnutá, môže si pozrieť miniatúru zo záznamu kamery, ktorý je uložený na serveroch Eufy. Rovnakým spôsobom je možné vidieť aj tváre, ktoré boli identifikované na záberoch, a tie sú tiež uložené na serveroch AWS riadených Eufy. Zdá sa, že tieto obrázky sú vymazané po 24 hodinách, no faktom zostáva, že spotrebitelia ako Moore sa cítia byť zavádzaní. Vzhľadom na to, že Eufy často uvádza, že súkromie je jadrom jej fungovania, je pochopiteľné, prečo by sa tak Moore (a ďalší spotrebitelia) cítil.
Nižšie uvedená citácia je prevzatá z popisu produktu Eufy na Amazone.
Vaše súkromie je niečo, čo si ceníme rovnako ako vy. Na začiatok robíme všetky možné kroky, aby sme zabezpečili, že vaše údaje sú súkromné. Či už je to váš novorodenec, ktorý plače pre mamu, alebo váš víťazný tanec po zápase, vaše zaznamenané zábery zostanú súkromné. Uložené lokálne. S šifrovaním na vojenskej úrovni. A odovzdané vám, a iba vám. To je len začiatok nášho záväzku chrániť vás, vašu rodinu a vaše súkromie.
Moore tiež ukázal, ako sa tieto obrázky uchovávajú na týchto serveroch riadených Eufy aj po odstránení záberov. Ešte alarmujúcejšie je, že hovoril o tom, ako bolo možné sledovať stream protokolu RTMP (Real-Time Messaging Protocol) z jeho fotoaparátu bez akejkoľvek autentifikácie. Neupresnil, či je to možné z externej siete, alebo či by niekto musel byť na rovnakej sieti ako kamera, aby sa k tomuto streamu dostal. Priznane nepreukázal dôkaz o tejto funkcii, aj keď povedal, že to bolo kvôli potenciálnemu nebezpečenstvu, že takáto zraniteľnosť bude verejne preukázaná.
Čo je ešte horšie, Moore uviedol, že videá boli uložené zašifrované pomocou pevne zakódovaného bezpečnostného kľúča „ZXSecurity17Cam@“, ktorý overil, že ich dešifroval lokálne. našiel som neoficiálne úložisko GitHub pre knižnicu Python z roku 2019 pre zariadenia Eufy, ktoré odkazujú na rovnaký šifrovací kľúč, čo naznačuje, že je to prípad viacerých kamier Eufy, ktoré existujú.
odpovedá Eufy
Moore predtým kontaktoval Eufy a zdieľal svoju odpoveď na Twitteri. V e-maile spoločnosť potvrdila, že tieto obrázky ukladá na svojich serveroch, a poukázala na 24-hodinovú exspiráciu. Spoločnosť uviedla, že do svojich rozhraní API pridá ďalšie šifrovanie a ponúkla Moore možnosť otestovať svoje zariadenie Homebase 3.
Pokiaľ ide o to, čo to všetko znamená, je ťažké robiť nejaké celkové súdy o situácii, kým nedôjde k záveru. Oslovili sme obe strany konverzácie a zatiaľ sme nedostali odpoveď. Nemusíme nevyhnutne očakávať, že sa nám ozveme, keďže Moore povedal, že hovoril s právnym oddelením spoločnosti a v súčasnosti sa nebude ďalej vyjadrovať.
Čo robiť s vašimi produktmi Eufy
Ak máte produkty Eufy a máte obavy z hľadiska ochrany osobných údajov, možno by stálo za to ich odpojiť a počkať a uvidíme, čo sa stane ďalej. Nie je jasné, čo presne Eufy robí, a bez akýchkoľvek ďalších komentárov od zainteresovaných je ťažké povedať, do akej miery sa spotrebitelia musia obávať. Zdá sa jasné, že mnohí spotrebitelia sa cítia zavádzaní, no v súčasnosti nie je jasné, do akej miery.
Keď sa tento prípad natiahne, určite budeme aktualizovať a očakávame, že Eufy v blízkej budúcnosti vydá vyhlásenie v snahe rozptýliť obavy spotrebiteľov.