„Bezchmurne” kamery Eufy przesyłają miniatury twarzy do AWS

Eufy, marka akcesoriów technologicznych firmy Anker do inteligentnego domu, stała się popularna wśród niektórych nabywców kamer bezpieczeństwa, którzy dbają o prywatność. Kamera dzwonkowa i inne urządzenia z dumą to ogłosiły ”Bez chmur i kosztóworaz że „nikt nie ma dostępu do Twoich danych poza Tobą”.

To jest powód serii tweetów i filmów opublikowanych przez konsultanta ds. i entuzjastów bezpieczeństwa zaciekle w tym tygodniu.

Moore’az siedzibą w Wielkiej Brytanii Zadawaj Eufy retoryczne pytania o swoich praktykach na Twitterze od 21 listopada. Dlaczego mogę transmitować moją kamerę bez #uwierzytelniania?! Moore opublikował również wiersze z „Kod źródłowy i odpowiedzi APIWskazuje, że do zaszyfrowania materiału wideo użyto bardzo słabego klucza AES.

23 listopada Moore przesłał film wyjaśniający jego odkrycia. ze swoją Eufą baza Moore stanął przed kamerą. Z przeglądarki internetowej incognito Moore może pobrać swoją miniaturę, zdjęcie swojego kanału na krótko przed pojawieniem się i być może bardziej zainteresowany numerami identyfikacyjnymi wskazującymi jego rozpoznawalną twarz i status właściciela aparatu.

Dzień później firma ochroniarska SEC Consult Podsumowanie dwóch lat analizy EufyCam 2, wskazując na podobny transfer miniatur przez chmurę Amazon Web Services. Firma zauważyła również słabe klucze, wskazujące na „zaszyfrowane klucze szyfrowania/deszyfrowania, które są identyczne dla wszystkich sprzedawanych urządzeń Homebase”, chociaż nie było jasne, jakie klucze zostały użyte.

SEC Consult zauważył, że wydaje się, że Eufy wzmocnił swoje zabezpieczenia od maja 2021 r., kiedy użytkownicy nagle Przyznaj prawie pełny dostęp do kont innych osób. „Niestety jednak wygląda na to, że miniatury wszystkich zarejestrowanych obrazów są nadal przenoszone do AWS, więc urządzenie nie spełnia naszych wymagań dotyczących prywatności”. SEC poinformowała, że ​​zaktualizowała swoją publikację swoich ustaleń na podstawie tweetów Moore’a i „z [Black Friday] Mania zakupów jest tuż za rogiem.

Moore później opublikowany Odpowiedź Eufy’ego na jego ustalenia, gdzie przedstawiciel pomocy technicznej Eufy wyjaśnia, że ​​miniatury są ograniczone do logowania do konta, a adres URL „wygaśnie w ciągu 24 godzin”, chyba że użytkownik udostępni. Przedstawiciel Eufy zauważa również, że Eufy „zauważył to wcześniej” i planuje stworzyć miniatury do lokalnego przechowywania Homebase 3.

Moore’a też twierdził w kolejnym tweecie, oznaczony na zrzucie ekranu innego użytkownika, dzięki czemu możesz zdalnie uruchamiać i monitorować strumienie Eufy Cam przez VLC bez uwierzytelniania lub szyfrowania. Moore stwierdził, że nie może udostępnić dowodu słuszności koncepcji luki w zabezpieczeniach. on jest też ćwierkanie To, że Eufy zaprzeczył swojemu wcześniejszemu roszczeniu prawnemu przeciwko firmie, „odmówił odszkodowania”, ale także, jak twierdził Moore, zaoferował mu pracę.

Wreszcie, w poniedziałek, Moore napisał na Twitterze, że odbył „długą dyskusję z [Eufy’s] Dział prawny”, a następnie „daj im czas na zbadanie sprawy i podjęcie odpowiednich działań” i odmówiliśmy dalszego komentarza. Wysłaliśmy e-mail do Moore’a z prośbą o komentarz, ale jeszcze nie otrzymaliśmy odpowiedzi (zgodnie z sugestią w jego tweecie).

W międzyczasie Yoffe odpowiedział Ars i innym punktom sprzedaży oświadczeniem. Eufy twierdzi, że materiał wideo i „technologia rozpoznawania twarzy” są „przetwarzane i przechowywane lokalnie na urządzeniu użytkownika”. Jednak w przypadku mobilnych powiadomień push miniatury są „krótko i bezpiecznie przechowywane na serwerze chmurowym opartym na AWS”. Są one szyfrowane po stronie serwera, za nazwami użytkowników i hasłami, automatycznie usuwane i zgodne ze standardami przesyłania wiadomości Apple i Google, a także standardami ogólnego rozporządzenia o ochronie danych (RODO).

Eufy przyznaje, że kiedy użytkownicy wybierają powiadomienia tekstowe lub miniatury ze swojego systemu podczas konfiguracji, „nie jest jasne, że wybranie powiadomień opartych na miniaturach będzie wymagało krótkiego przechowywania podglądu obrazów w chmurze”.

Eufy zobowiązała się zaktualizować swój język konfiguracji i „wyraźniej mówić o korzystaniu z chmury do powiadomień push w materiałach marketingowych skierowanych do konsumentów”. Inne zarzuty wysunięte przez Moore’a i SEC Consult nie zostały uwzględnione.