กล้องที่ "ปลอดภัย" ของ Eufy อาจไม่ปลอดภัยนัก

สมาร์ทโฮมNov 13, 2023
click fraud protection

หากคุณมีกล้องรักษาความปลอดภัย Eufy กล้องรักษาความปลอดภัยเหล่านี้อาจไม่ปลอดภัยเท่าที่ควร

หากคุณให้ความสำคัญกับความปลอดภัย คุณอาจลงทุนในระบบรักษาความปลอดภัยภายในบ้านผ่านกล้อง Eufy กล้องเหล่านี้แม้จะมีราคาแพง แต่ก็มีความพิเศษตรงที่สัญญาว่าจะไม่เก็บภาพไว้ในระยะไกล เซิร์ฟเวอร์บนคลาวด์ ซึ่งทำงานบนพื้นฐานแบบเพียร์ทูเพียร์ เว้นแต่คุณต้องการชำระค่าพื้นที่เก็บข้อมูลบนคลาวด์ แยกกัน อย่างไรก็ตาม Paul Moore นักวิจัยด้านความปลอดภัยได้ค้นพบว่าภาพขนาดย่อและใบหน้าถูกจัดเก็บไว้ในเซิร์ฟเวอร์ Eufy Eufy เป็นบริษัทที่ Anker เป็นเจ้าของ

Moore แสดงไว้ในวิดีโอ YouTube ว่าแม้ในขณะที่ Eufy Homebase 2 ของเขาปิดอยู่ แต่เขายังสามารถดูภาพขนาดย่อจากการบันทึกของกล้องที่จัดเก็บไว้ในเซิร์ฟเวอร์ของ Eufy ในทำนองเดียวกัน ใบหน้าต่างๆ ที่ระบุในวิดีโอก็สามารถมองเห็นได้เช่นกัน และใบหน้าเหล่านั้นก็จะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ AWS ที่ควบคุมโดย Eufy เช่นกัน ดูเหมือนว่าภาพเหล่านี้จะถูกลบหลังจากผ่านไป 24 ชั่วโมง แต่ความจริงก็คือผู้บริโภคอย่างมัวร์รู้สึกว่าถูกหลอก เนื่องจาก Eufy มักกล่าวบ่อยครั้งว่าความเป็นส่วนตัวเป็นหัวใจสำคัญของการดำเนินงาน จึงเป็นที่เข้าใจได้ว่าทำไม Moore (และผู้บริโภครายอื่นๆ) จึงรู้สึกเช่นนั้น

ข้อความอ้างอิงด้านล่างนำมาจากคำอธิบายผลิตภัณฑ์ Eufy ใน Amazon

ความเป็นส่วนตัวของคุณคือสิ่งที่เราให้ความสำคัญมากเท่ากับคุณ ในการเริ่มต้น เรากำลังดำเนินการทุกขั้นตอนเท่าที่จะเป็นไปได้เพื่อให้แน่ใจว่าข้อมูลของคุณเป็นส่วนตัวกับคุณ ไม่ว่าจะเป็นทารกแรกเกิดของคุณร้องไห้เพื่อแม่ หรือการเต้นเพื่อชัยชนะหลังจบเกม ภาพที่บันทึกไว้ของคุณจะถูกเก็บไว้เป็นส่วนตัว เก็บไว้ในเครื่อง ด้วยการเข้ารหัสระดับทหาร และส่งต่อถึงคุณและคุณเท่านั้น นั่นเป็นเพียงจุดเริ่มต้นของความมุ่งมั่นของเราในการปกป้องคุณ ครอบครัว และความเป็นส่วนตัวของคุณ

มัวร์ยังสาธิตวิธีการจัดเก็บภาพเหล่านี้บนเซิร์ฟเวอร์ที่ควบคุมโดย Eufy แม้ว่าภาพจะถูกลบไปแล้วก็ตาม ที่น่าตกใจยิ่งกว่านั้นคือเขาพูดถึงวิธีการดูสตรีม Real-Time Messaging Protocol (RTMP) จากกล้องของเขาโดยไม่ต้องมีการตรวจสอบสิทธิ์ เขาไม่ได้ชี้แจงว่าเป็นไปได้จากเครือข่ายภายนอก หรือมีใครบางคนจำเป็นต้องอยู่ในเครือข่ายเดียวกันกับกล้องเพื่อเข้าถึงสตรีมนี้ ยอมรับว่าเขาไม่ได้แสดงหลักฐานของคุณลักษณะนี้ แม้ว่าจะกล่าวว่านี่เป็นเพราะอันตรายที่อาจเกิดขึ้นจากการที่ช่องโหว่ดังกล่าวแสดงต่อสาธารณะ

ที่แย่กว่านั้นคือ Moore ระบุว่าวิดีโอถูกจัดเก็บด้วยการเข้ารหัสโดยใช้คีย์ความปลอดภัยแบบฮาร์ดโค้ดของ "ZXSecurity17Cam@" ซึ่ง เขาตรวจสอบการถอดรหัสเหล่านั้นในเครื่อง. ฉันพบ พื้นที่เก็บข้อมูล GitHub อย่างไม่เป็นทางการสำหรับไลบรารี Python ตั้งแต่ปี 2019 สำหรับอุปกรณ์ Eufy ที่อ้างอิงถึงคีย์เข้ารหัสเดียวกันนั้น ซึ่งบ่งบอกว่าเป็นกรณีของกล้อง Eufy หลายตัวที่มีอยู่ทั่วไป

ยูฟี่ตอบกลับ

มัวร์เคยติดต่อกับ Eufy และแบ่งปันคำตอบบน Twitter ในอีเมล บริษัทยืนยันว่าได้จัดเก็บภาพเหล่านี้ไว้บนเซิร์ฟเวอร์ และชี้ให้เห็นถึงการหมดอายุภายใน 24 ชั่วโมง บริษัทกล่าวว่าจะเพิ่มการเข้ารหัสเพิ่มเติมให้กับ API ของตน และเสนอให้ Moore สามารถทดสอบอุปกรณ์ Homebase 3 ได้

สำหรับความหมายทั้งหมดนี้ เป็นการยากที่จะตัดสินสถานการณ์โดยรวมจนกว่าจะได้ข้อสรุป เราเอื้อมมือออกไปทั้งสองฝั่งของการสนทนาและจนถึงขณะนี้ยังไม่ได้รับการตอบกลับ เราไม่คาดหวังว่าจะได้รับการตอบกลับเช่นกัน เนื่องจากมัวร์กล่าวว่าเขาได้พูดคุยกับฝ่ายกฎหมายของบริษัทแล้ว และจะไม่แสดงความคิดเห็นอีกต่อไปในขณะนี้

จะทำอย่างไรกับผลิตภัณฑ์ Eufy ของคุณ

หากคุณมีผลิตภัณฑ์ Eufy และกังวลในแง่ความเป็นส่วนตัว อาจคุ้มค่าที่จะถอดปลั๊กออกเพื่อรอดูว่าจะเกิดอะไรขึ้นต่อไป ยังไม่ชัดเจนว่า Eufy กำลังทำอะไรอยู่ และหากไม่มีความคิดเห็นเพิ่มเติมจากผู้ที่เกี่ยวข้อง ก็ยากที่จะบอกว่าผู้บริโภคต้องกังวลในระดับใด ดูเหมือนชัดเจนว่าผู้บริโภคจำนวนมากรู้สึกเข้าใจผิด แต่ยังไม่ชัดเจนในระดับใดในขณะนี้

เราจะอัปเดตอย่างแน่นอนเมื่อคดีนี้ดำเนินต่อไป และเราคาดว่า Eufy จะออกแถลงการณ์ในอนาคตอันใกล้นี้เพื่อพยายามบรรเทาความกังวลที่ผู้บริโภคอาจมี