Домашние камеры видеонаблюдения стали намного лучше в последние годы, но безопасность отснятого материала всегда была проблемой. Бренд Anker Eufy утверждает, что хранит данные локально, но исследователь безопасности показал, что это утверждение далеко от истины: кадры не только отправляются в облако, но и остаются видимыми даже после того, как предполагалось, что они будут удалены.
Eufy продает несколько своих камер видеонаблюдения, обещая, что видеоматериалы и другие данные являются только локальными, и на своем веб-сайте прямо заявляет, что «никто не имеет доступа к вашим данным, кроме вас».
Пол Мур, исследователь безопасности, опубликовано в Твиттере на прошлой неделе пугающая ситуация с безопасностью с продуктами домашней безопасности Eufy, включая дверные звонки с камерами. В ветке и сопровождающих видео Мур показывает доказательства того, что камеры Eufy отправляют данные, которые, как говорят, «хранятся локально» в облако, даже если облачное хранилище отключено.
Дыра в системе безопасности была впервые обнаружена в двойной камере дверного звонка Eufy, которая использует две камеры для наблюдения как за людьми, подходящими к вашей двери, так и за вашим порогом, где могут быть оставлены посылки.
Камера дверного звонка загружала данные распознавания лиц с камеры на облачные серверы Eufy с прикрепленной идентифицирующей информацией, и что эти данные фактически не удалялись с серверов Eufy, когда соответствующие кадры были удалены из приложения Eufy. В видео ниже Мур также отмечает, что Eufy использовала данные распознавания лиц с двух разных камер на двух совершенно разных аккаунтах, чтобы связать данные с каждого, и указывает, что Eufy никогда не уведомляет пользователя о том, что это происходит — рынок компании скорее подразумевает просто противоположный.
Неясно, сколько камер и продуктов домашней безопасности Eufy затронуты этим. Android Central смог воспроизвести те же проблемы безопасности на EufyCam 3, соединенном с Eufy HomeBase 3.
У вас есть серьезные вопросы, на которые нужно ответить @EufyOfficial
Вот неопровержимое доказательство того, что мой якобы «личный», «хранящийся локально», «передаваемый только вам» дверной звонок транслируется в облако — без включенного облачного хранилища.#Конфиденциальностьhttps://t.co/u4iGgkWkJB
— Пол Мур (@Paul_Reviews) 23 ноября 2022 г.
Возможно, более пугающим был вывод другого пользователя о том, что эти потоки видеоматериалов Eufy доступны через незашифрованные потоки. Просто используя популярный медиаплеер VLC, пользователь мог получить доступ к потоку с камеры, и Пол Мур подтвердил (хотя и не показал, как это работает), что к потокам можно получить доступ без необходимости шифрования или аутентификации.
Обновление 12/1: The Verge также подтвердила существование дыры в безопасности VLC. Менеджер по связям с общественностью Anker уверенно сказал: «Я могу подтвердить, что невозможно запустить трансляцию и смотреть видео в прямом эфире с помощью стороннего проигрывателя, такого как VLC», в то время как The Verge смогла сделать именно это.
В публикации отмечается, что изначально для доступа к сведениям о потоке требовалась аутентификация, но затем информация работает без какой-либо дополнительной аутентификации. Они могли транслировать видео, пока камера не спала, т. е. когда она записывала клип после обнаружения движения или его владелец просматривал его в прямом эфире. Также отмечается, что URL-адрес, который обращается к этим потокам, включает временную метку Unix, случайный токен, который не проверяется ни в какой точке, случайный четырехзначный шестнадцатеричный код, который можно «легко взломать» и информацию, основанную на ваших данных. серийный номер камеры.
Пол Мур, исследователь, который первым осветил эту проблему, также поделился с изданием тем, что возбудил против Анкера судебное разбирательство.
Eufy еще предстоит публично отреагировать на эти заявления, но на данный момент доказательства совершенно очевидны, и это серьезный сбой в системе безопасности помимо прямой лжи клиентам. Мур получил письмо от Eufy, в котором компания пыталась объяснить показанное поведение, хотя Мур причина что большая часть ответа компании преуменьшала серьезность проблемы.
Мур предложил обновление к ситуации вчера, заявив, что Eufy удалила «фоновый вызов», который показывает сохраненные изображения, но не основные кадры, и что компания также зашифровала другие вызовы, чтобы замести следы.
Мнение
Угу.
Подробнее о домашней безопасности:
Проверьте на YouTube для получения дополнительных новостей: