«Захищені» камери Eufy можуть бути не настільки безпечними

Якщо у вас є камера безпеки Eufy, ці камери безпеки можуть бути не такими безпечними, як здається.

Якщо ви любите безпеку, можливо, ви інвестували в безпеку будинку за допомогою камери Eufy. Хоча ці камери дорогі, вони особливі тим, що ніколи не зберігають відзнятий матеріал на пульті дистанційного керування. хмарні сервери, що працюють на одноранговій основі, якщо ви не бажаєте платити за хмарне сховище окремо. Однак Пол Мур, дослідник безпеки, виявив, що мініатюри та обличчя зберігаються на серверах Eufy. Eufy — компанія, що належить Anker.

У відео YouTube Мур показав, як, навіть коли його Eufy Homebase 2 вимкнено, він може переглядати мініатюру із запису камери, який зберігається на серверах Eufy. Таким же чином можна побачити обличчя, ідентифіковані на кадрах, і вони також зберігаються на серверах AWS, контрольованих Eufy. Здається, ці зображення видаляються через 24 години, але факт залишається фактом: такі споживачі, як Мур, почуваються введеними в оману. З огляду на те, що Eufy часто заявляє, що конфіденційність є серцем його діяльності, зрозуміло, чому Мур (та інші споживачі) так почуватимуться.

Наведена нижче цитата взята з опису продукту Eufy на Amazon.

Ваша конфіденційність – це те, що ми цінуємо так само, як і ви. Для початку ми вживаємо всіх можливих заходів, щоб забезпечити конфіденційність ваших даних. Незалежно від того, чи це ваш новонароджений, який плаче за мамою, чи ваш переможний танець після гри, ваші записані кадри залишатимуться конфіденційними. Зберігається локально. З шифруванням військового рівня. І передається тобі, і тільки тобі. Це лише початок нашого зобов’язання захистити вас, вашу родину та вашу конфіденційність.

Мур також продемонстрував, як ці зображення зберігаються на цих серверах, контрольованих Eufy, навіть після видалення кадрів. Ще більш тривожним є те, що він розповів про те, як можна було переглядати потік протоколу обміну повідомленнями в реальному часі (RTMP) з його камери без будь-якої автентифікації. Він не уточнив, чи це можливо із зовнішньої мережі, чи комусь потрібно буде бути в тій самій мережі, що й камера, щоб отримати доступ до цього потоку. Правда, він не показав доказів цієї функції, хоча сказав, що це через потенційну небезпеку публічної демонстрації такої вразливості.

Що ще гірше, Мур заявив, що відео зберігалися в зашифрованому вигляді за допомогою жорстко закодованого ключа безпеки «ZXSecurity17Cam@», який він підтвердив, що розшифрував їх локально. я знайшов неофіційний репозиторій GitHub для бібліотеки Python з 2019 року для пристроїв Eufy, який посилається на той самий ключ шифрування, що свідчить про те, що це стосується кількох наявних камер Eufy.

Eufy відповідає

Раніше Мур зв’язався з Eufy і поділився своєю відповіддю в Twitter. У електронному листі компанія підтвердила, що зберігає ці зображення на своїх серверах, і вказала на 24-годинний термін дії. Компанія заявила, що додасть додаткове шифрування до своїх API, і запропонувала Муру можливість протестувати свій пристрій Homebase 3.

Щодо того, що все це означає, важко робити будь-які загальні судження про ситуацію, доки вона не прийде до висновку. Ми зв’язалися з обома сторонами розмови і поки не отримали відповіді. Ми також не обов’язково очікуємо відповіді, оскільки Мур сказав, що спілкувався з юридичним відділом компанії та наразі не коментуватиме.

Що робити з продуктами Eufy

Якщо у вас є продукти Eufy і ви стурбовані з точки зору конфіденційності, можливо, варто від’єднати їх, щоб почекати та подивитися, що станеться далі. Незрозуміло, що саме робить Eufy, і без подальших коментарів від тих, хто бере участь, важко сказати, наскільки споживачі повинні хвилюватися. Здається очевидним, що багато споживачів відчувають себе введеними в оману, але до якої міри, наразі неясно.

Ми обов’язково оновлюватимемо інформацію, оскільки ця справа затягнеться, і ми очікуємо, що Eufy опублікує заяву найближчим часом, щоб спробувати розвіяти занепокоєння споживачів.