Om du har en Eufy-säkerhetskamera kanske dessa säkra kameror inte är så säkra som de verkar.
Om du är stor på säkerhet, kanske du har investerat i hemsäkerhet med hjälp av en Eufy-kamera. Dessa kameror, även om de är dyra, är speciella genom att de lovar att aldrig lagra bilder på fjärrkontrollen, molnbaserade servrar, som fungerar på peer-to-peer-basis om du inte vill betala för molnlagring separat. Paul Moore, en säkerhetsforskare, har dock upptäckt att miniatyrer och ansikten lagras på Eufys servrar. Eufy är ett företag som ägs av Anker.
Moore visade i en YouTube-video hur han, även när hans Eufy Homebase 2 är avstängd, kan se en miniatyrbild från en kamerainspelning som är lagrad på Eufys servrar. På samma sätt kan ansikten också ses som identifierades i filmen, och de lagras också på AWS-servrar som kontrolleras av Eufy. Dessa bilder verkar vara raderade efter 24 timmar, men faktum kvarstår att konsumenter som Moore känner sig vilseledda. Med tanke på att Eufy ofta säger att integritet är hjärtat i dess verksamhet, är det förståeligt varför Moore (och andra konsumenter) skulle känna så.
Citatet nedan är hämtat från en Eufy-produktbeskrivning på Amazon.
Din integritet är något som vi värdesätter lika mycket som du gör. Till att börja med tar vi alla tänkbara steg för att säkerställa att din data är privat, med dig. Oavsett om det är din nyfödda som gråter efter mamma, eller din segerdans efter en match, kommer dina inspelade bilder att hållas privata. Förvaras lokalt. Med kryptering av militär kvalitet. Och överförs till dig, och bara dig. Det är bara början på vårt åtagande att skydda dig, din familj och din integritet.
Moore visade också hur dessa bilder hålls på dessa Eufy-kontrollerade servrar även efter att filmerna har raderats. Ännu mer oroväckande är att han pratade om hur det var möjligt att se en RTMP-ström (Real-Time Messaging Protocol) från sin kamera utan någon autentisering. Han klargjorde inte om det var möjligt från ett externt nätverk, eller om någon skulle behöva vara på samma nätverk som kameran för att komma åt denna stream. Han visade visserligen inte bevis för funktionen, men sa att detta berodde på den potentiella faran för att en sådan sårbarhet demonstreras offentligt.
För att göra saken värre uppgav Moore att videor lagrades krypterade med en hårdkodad säkerhetsnyckel av "ZXSecurity17Cam@", vilket han verifierade dekrypterade dem lokalt. jag hittade ett inofficiellt GitHub-förråd för ett Python-bibliotek från 2019 för Eufy-enheter som hänvisar till samma krypteringsnyckel, vilket tyder på att detta är fallet för flera Eufy-kameror som finns där ute.
Eufy svarar
Moore hade tidigare kontaktat Eufy och delat sitt svar på Twitter. I e-postmeddelandet bekräftade företaget att det lagrade dessa bilder på sina servrar och påpekade att 24-timmarsperioden löpte ut. Företaget sa att det skulle lägga till ytterligare kryptering till sina API: er och erbjöd Moore möjligheten att testa sin Homebase 3-enhet.
När det gäller vad allt detta betyder, är det svårt att göra några övergripande bedömningar av situationen tills den kommer till en slutsats. Vi nådde ut till båda sidor av samtalet och har ännu inte hört något. Vi förväntar oss inte nödvändigtvis att höra tillbaka heller, eftersom Moore har sagt att han har pratat med företagets juridiska avdelning och kommer inte att kommentera ytterligare för närvarande.
Vad du ska göra med dina Eufy-produkter
Om du har Eufy-produkter och är orolig ur integritetssynpunkt kan det vara värt att koppla ur dem för att vänta och se vad som händer härnäst. Det är oklart exakt vad Eufy gör, och utan några ytterligare kommentarer från de inblandade är det svårt att säga i vilken grad konsumenterna behöver oroa sig. Det verkar tydligt att många konsumenter känner sig vilseledda, men i vilken grad är inte klart i nuläget.
Vi kommer säkert att uppdatera när det här ärendet drar ut på tiden, och vi förväntar oss att Eufy kommer att släppa ett uttalande inom en snar framtid i ett försök att dämpa oro som konsumenter kan ha.