Eufy kameru lietotāji arī uzzināja, ka viņu kameru straumēm var piekļūt attālināti, izmantojot VLC bez šifrēšanas vai autentifikācijas.
Pastāvīgi pārdodot ideju par privātu, drošu lokālo krātuvi, Eufy Security ir pieķerts patērētāju maldināšanai.
Eufy apgalvojumi lai saglabātu "privātumu savās rokās", ir atcelti pēc tam, kad pētnieks pieķēra drošības kameru uzņēmumu, kas mākonī augšupielādē tikai lokālus kadrus bez lietotāja atļaujas vai ziņas. Turklāt lietotāji ir informēti, ka varat skatīties kameras straumes, izmantojot VLC bez autentifikācijas.
Pols Mūrs, drošības pētnieks, bija pirmais, kurš atklāja mākonī glabāto vietējo datu drošības trūkumu. Viņš norādīja tālāk esošajā videoklipā, lai gan Eufy Security apgalvo, ka sper "katru iespējamo soli", lai saglabātu savu lietotāju datus privātus un lokāli, tā joprojām mākoņa serveros augšupielādē ne tikai video sīktēlus, bet arī videoklipā atklāto cilvēku un lietotāju seju fotoattēlus. identifikatora dati.
Tāpat: Eufy reaģē uz kameru drošības problēmām
Ķīnas uzņēmumam Anker Innovations piederošais zīmols Eufy Security cenšas saglabāt uzņemtos video datus HomeBase, kas ir kā viedās mājas centrs uz steroīdiem. HomeBase izveido savienojumu ar Eufy ierīcēm jūsu mājās un saglabā tajā esošos datus, lai jūsu videoklipi un attēli paliek lokāli, un jums nav jāmaksā par mākoņpakalpojumiem, kā jūs to darītu ar citiem uzņēmumiem, piemēram kā Gredzens.
Privātums
- Kā izdzēst sevi no interneta meklēšanas rezultātiem un paslēpt savu identitāti tiešsaistē
- Labākās pārlūkprogrammas privātumam
- Samsung viedtālruņa “Remonta režīms” neļauj tehniķiem skatīt jūsu fotoattēlus
- Vai perioda izsekošanas lietotnes ir drošas?
Tas ir populārs viedo māju entuziastu vidū tieši šīs funkcijas dēļ: jūsu videoklipi un citi atbilstošie dati droši atrodas jūsu mājās, tikai saglabāti HomeBase atmiņas diskdzinī un/vai pievienotā HDD vai SSD.
Tāpat: Šos failu tipus hakeri visbiežāk izmanto, lai slēptu savu ļaunprātīgo programmatūru
Mūrs to pārbaudīja, ejot pie sava Eufy Video Doorbell Dual, gaidot, kamēr viņa tālrunī parādīsies paziņojums, un pēc tam atvienojot HomeBase.
Mūrs norādīja, ka tiklīdz viņa HomeBase bija bezsaistē, AWS mākoņa serverī palika divi fotoattēli: viens no videoklipa. īkšķis un otra viņa seja, kad durvju zvana kamera konstatēja personu, kā arī lietotāja identifikators informāciju. Protams, videoklips vairs nebija pieejams viņa tālruņa mobilajā lietotnē, jo HomeBase nebija sasniedzams.
Lietotnē Eufy Security ir iespēja iespējot mākoņkrātuvi, taču Mūrs atklāja, ka dati tika augšupielādēti mākoņa serveros pat tad, kad mākoņa krātuve bija atspējota.
Pārskats:Eufy Edge drošības sistēma: kāpēc es vēl neatbrīvojos no šīm kamerām
Eufijs atbildēja atzīstot problēmu un norādot, ka attēli tiek izmantoti tikai paziņojumiem un nekavējoties tiek izdzēsti no servera, kad lietotājs dzēš notikumus. Tomēr, kad viņš izdzēsa notikumus no savas lietotnes Eufy Security, attēli joprojām bija atstāti serverī.
Turklāt citi lietotāji atklāja, ka ikviens var piekļūt Eufy kamerai bez autentifikācijas vai šifrēšanas, izmantojot VLC attālināti.
Nu, kaķi tagad ārā no maisa... tā arī var jums pastāstīt.
— Pols Mūrs (@Paul_Reviews) 2022. gada 25. novembris
Varat attālināti sākt straumi un skatīties @EufyOfficial kameras tiešraidē, izmantojot VLC. Nav autentifikācijas, nav šifrēšanas.
Lūdzu, nelūdziet PoC — es nevaru atbrīvot šo.
Uzmanību @TechLinkedYT@LinusTechhttps://t.co/sU3FyRaELX
Kopš izskanēja šie apgalvojumi, The Verge teica, ka tas ir veiksmīgi izmēģinājis, "pierādot, ka Anker ir veids, kā apiet šifrēšanu un piekļūt šīm it kā drošajām kamerām caur mākoni".
ZDNET sazinājās ar Anker, Eufy mātesuzņēmumu, lai saņemtu komentārus, taču mēs vēl neesam dzirdējuši.
Vai tas nozīmē, ka Eufy nav drošs?
Saskaņā ar e-pasts no Eufy Security līdz Moore, HomeBase 3 ir atbrīvots no AWS mākoņservera izmantošanas, lai augšupielādētu notikumu ekrānuzņēmumus, jo ierīcē ir izveidota "augstas veiktspējas datubāze".
HomeBase atvienošana ir kā USB zibatmiņas diska atvienošana no datora: viss, kas atrodas zibatmiņas diskā, vairs nav pieejams datorā, kad tas ir izņemts.
Eufy vajadzētu veikt sirdsdarbības pārbaudi, vai, tiklīdz HomeBase ir bezsaistē, visi uzņemtie ekrānuzņēmumi tiek izdzēsti no šī profila. Iespējojot momentuzņēmumus savos paziņojumos, ir jāparādās vismaz atrunai, norādot, ka šie attēli tiks saglabāti mākoņa serverī, ja tie ir iespējoti.
Lielākā problēma šajā situācijā nav tā, ka lietotāju dati tiek glabāti mākoņserveros; tas ir tas, ka tas tiek darīts ne tikai bez patērētāju piekrišanas, bet arī Eufy publiski reklamējot rīkoties pretēji.
Ciktāl kāds cits piekļūst Eufy kameras straumēm attālināti? Varu pateikt tikai to, ka pagaidām glabāju savas Eufy kameras ārpus mājas.
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk