Skip to main content

Домашние камеры видеонаблюдения стали намного лучше в последние годы, но безопасность отснятого материала всегда была проблемой. Бренд Anker Eufy утверждает, что хранит данные локально, но исследователь безопасности показал, что это утверждение далеко от истины: кадры не только отправляются в облако, но и остаются видимыми даже после того, как предполагалось, что они будут удалены.

Eufy продает несколько своих камер видеонаблюдения, обещая, что видеоматериалы и другие данные являются только локальными, и на своем веб-сайте прямо заявляет, что «никто не имеет доступа к вашим данным, кроме вас».

Пол Мур, исследователь безопасности, опубликовано в Твиттере на прошлой неделе пугающая ситуация с безопасностью с продуктами домашней безопасности Eufy, включая дверные звонки с камерами. В ветке и сопровождающих видео Мур показывает доказательства того, что камеры Eufy отправляют данные, которые, как говорят, «хранятся локально» в облако, даже если облачное хранилище отключено.

Дыра в системе безопасности была впервые обнаружена в двойной камере дверного звонка Eufy, которая использует две камеры для наблюдения как за людьми, подходящими к вашей двери, так и за вашим порогом, где могут быть оставлены посылки.

Камера дверного звонка загружала данные распознавания лиц с камеры на облачные серверы Eufy с прикрепленной идентифицирующей информацией, и что эти данные фактически не удалялись с серверов Eufy, когда соответствующие кадры были удалены из приложения Eufy. В видео ниже Мур также отмечает, что Eufy использовала данные распознавания лиц с двух разных камер на двух совершенно разных аккаунтах, чтобы связать данные с каждого, и указывает, что Eufy никогда не уведомляет пользователя о том, что это происходит — рынок компании скорее подразумевает просто противоположный.

Неясно, сколько камер и продуктов домашней безопасности Eufy затронуты этим. Android Central смог воспроизвести те же проблемы безопасности на EufyCam 3, соединенном с Eufy HomeBase 3.

Возможно, более пугающим был вывод другого пользователя о том, что эти потоки видеоматериалов Eufy доступны через незашифрованные потоки. Просто используя популярный медиаплеер VLC, пользователь мог получить доступ к потоку с камеры, и Пол Мур подтвердил (хотя и не показал, как это работает), что к потокам можно получить доступ без необходимости шифрования или аутентификации.

Обновление 12/1: The Verge также подтвердила существование дыры в безопасности VLC. Менеджер по связям с общественностью Anker уверенно сказал: «Я могу подтвердить, что невозможно запустить трансляцию и смотреть видео в прямом эфире с помощью стороннего проигрывателя, такого как VLC», в то время как The Verge смогла сделать именно это.

В публикации отмечается, что изначально для доступа к сведениям о потоке требовалась аутентификация, но затем информация работает без какой-либо дополнительной аутентификации. Они могли транслировать видео, пока камера не спала, т. е. когда она записывала клип после обнаружения движения или его владелец просматривал его в прямом эфире. Также отмечается, что URL-адрес, который обращается к этим потокам, включает временную метку Unix, случайный токен, который не проверяется ни в какой точке, случайный четырехзначный шестнадцатеричный код, который можно «легко взломать» и информацию, основанную на ваших данных. серийный номер камеры.

Пол Мур, исследователь, который первым осветил эту проблему, также поделился с изданием тем, что возбудил против Анкера судебное разбирательство.

Eufy еще предстоит публично отреагировать на эти заявления, но на данный момент доказательства совершенно очевидны, и это серьезный сбой в системе безопасности помимо прямой лжи клиентам. Мур получил письмо от Eufy, в котором компания пыталась объяснить показанное поведение, хотя Мур причина что большая часть ответа компании преуменьшала серьезность проблемы.

Мур предложил обновление к ситуации вчера, заявив, что Eufy удалила «фоновый вызов», который показывает сохраненные изображения, но не основные кадры, и что компания также зашифровала другие вызовы, чтобы замести следы.

Мнение

Угу.

Подробнее о домашней безопасности:

Проверьте на YouTube для получения дополнительных новостей:

Домашние камеры видеонаблюдения стали намного лучше в последние годы, но безопасность отснятого материала всегда была проблемой. Бренд Anker Eufy утверждает, что хранит данные локально, но исследователь безопасности показал, что это утверждение далеко от истины: кадры не только отправляются в облако, но и остаются видимыми даже после того, как предполагалось, что они будут удалены.

Eufy продает несколько своих камер видеонаблюдения, обещая, что видеоматериалы и другие данные являются только локальными, и на своем веб-сайте прямо заявляет, что «никто не имеет доступа к вашим данным, кроме вас».

Пол Мур, исследователь безопасности, опубликовано в Твиттере на прошлой неделе пугающая ситуация с безопасностью с продуктами домашней безопасности Eufy, включая дверные звонки с камерами. В ветке и сопровождающих видео Мур показывает доказательства того, что камеры Eufy отправляют данные, которые, как говорят, «хранятся локально» в облако, даже если облачное хранилище отключено.

Дыра в системе безопасности была впервые обнаружена в двойной камере дверного звонка Eufy, которая использует две камеры для наблюдения как за людьми, подходящими к вашей двери, так и за вашим порогом, где могут быть оставлены посылки.

Камера дверного звонка загружала данные распознавания лиц с камеры на облачные серверы Eufy с прикрепленной идентифицирующей информацией, и что эти данные фактически не удалялись с серверов Eufy, когда соответствующие кадры были удалены из приложения Eufy. В видео ниже Мур также отмечает, что Eufy использовала данные распознавания лиц с двух разных камер на двух совершенно разных аккаунтах, чтобы связать данные с каждого, и указывает, что Eufy никогда не уведомляет пользователя о том, что это происходит — рынок компании скорее подразумевает просто противоположный.

Неясно, сколько камер и продуктов домашней безопасности Eufy затронуты этим. Android Central смог воспроизвести те же проблемы безопасности на EufyCam 3, соединенном с Eufy HomeBase 3.

Возможно, более пугающим был вывод другого пользователя о том, что эти потоки видеоматериалов Eufy доступны через незашифрованные потоки. Просто используя популярный медиаплеер VLC, пользователь мог получить доступ к потоку с камеры, и Пол Мур подтвердил (хотя и не показал, как это работает), что к потокам можно получить доступ без необходимости шифрования или аутентификации.

Eufy еще предстоит публично отреагировать на эти заявления, но на данный момент доказательства совершенно очевидны, и это серьезный сбой в системе безопасности помимо прямой лжи клиентам. Мур получил письмо от Eufy, в котором компания пыталась объяснить показанное поведение, хотя Мур причина что большая часть ответа компании преуменьшала серьезность проблемы.

Мур предложил обновление к ситуации вчера, заявив, что Eufy удалила «фоновый вызов», который показывает сохраненные изображения, но не основные кадры, и что компания также зашифровала другие вызовы, чтобы замести следы.

Подробнее о домашней безопасности:

Проверьте на YouTube для получения дополнительных новостей: