Какво трябва да знаете
- Изследователят по сигурността Пол Мур откри няколко пропуска в сигурността на камерите на Eufy.
- Потребителски изображения и данни за разпознаване на лица се изпращат в облака без съгласието на потребителя, а емисиите на камерата на живо могат да бъдат достъпни без никакво удостоверяване.
- Мур казва, че някои от проблемите след това са коригирани, но не може да провери дали облачните данни се изтриват правилно. Moore, жител на Обединеното кралство, предприе съдебни действия срещу Eufy поради възможно нарушение на GDPR.
- Поддръжката на Eufy потвърди някои от проблемите и издаде официално изявление по въпроса, в което се казва, че актуализацията на приложението ще предложи изяснен език.
Актуализация на 29 ноември, 11:32 ч.: Добавен е отговорът на Пол Мур към Android Central.
Актуализация на 29 ноември, 15:30: Eufy издаде изявление, обясняващо какво се случва, което може да се види по-долу в раздела за обяснения на Eufy.
Актуализация на 1 декември, 10:20 ч.: Добавена информация The Verge разкри потвърждение, че нешифрованите потоци от камери могат да бъдат достъпни чрез софтуер като VLC.
Актуализация на 2 декември, 9:08 сутринта: Добавено е последното изявление от Eufy.
Видеозаписи от активни камери Eufy могат да бъдат достъпни чрез видео софтуер като VLC, дори без подходящо удостоверяване.
Години наред Eufy Security се гордее със своята мантра за защита на поверителността на потребителите, предимно чрез съхраняване само на видеоклипове и други подходящи данни локално. Но изследовател по сигурността поставя това под въпрос, цитирайки доказателства, които показват, че някои камери Eufy са качване на снимки, изображения за разпознаване на лица и други лични данни на своите облачни сървъри без потребител съгласие.
А серия от туитове от консултанта по информационна сигурност Пол Мур изглежда показва двойна камера Eufy Doorbell, която качва данни за разпознаване на лица в AWS облака на Eufy без криптиране. Moore показва, че тези данни се съхраняват заедно с конкретно потребителско име и друга идентифицираща информация. Добавяйки към това, Мур казва, че тези данни се съхраняват на базираните на Amazon сървъри на Eufy, дори когато кадрите са били „изтрити“ от приложението Eufy.
Освен това Мур твърди, че видеоклипове от камери могат да се предават поточно чрез уеб браузър чрез въвеждане на правилния URL адрес и че не е необходимо да има информация за удостоверяване, за да се гледат тези видеоклипове. На ръба оттогава получи метода за поточно предаване на некриптирани видеоклипове от камери Eufy и казва, че е успял да предава поточно видео чрез безплатното приложение VLC без никакво подходящо удостоверяване.
The Verge също каза, че не е в състояние да получи достъп до това видео, освен ако камерата вече не е била събудена, обикновено от събитие за откриване на движение и последващ запис. Спящите камери не могат да бъдат произволно събудени или достъпни дистанционно чрез този метод.
Мур показва доказателства, че видеоклипове от камери Eufy, които са криптирани с криптиране AES 128, се правят само с прост ключ, а не с подходящ произволен низ. В примера видеоклиповете на Мур бяха съхранени с "ZXSecurity17Cam@" като ключ за криптиране, нещо, което лесно би било разбито от всеки, който наистина иска вашите кадри.
Всеки със серийния номер на вашия фотоапарат теоретично би могъл да получи достъп, докато камерата е активна.
По това време изглежда, че адресът, използван за преглед на потока от камера, вече е скрит от приложението и уеб интерфейс, така че, освен ако някой не направи този адрес публичен, няма вероятност този експлойт да се използва в дивата природа.
Ако този адрес бъде публикуван, за влизане е необходим само серийният номер на вашия фотоапарат, кодиран в Base64, според разследването на The Verge. The Verge също казва, че докато адресът включва Unix timestamp, който трябва да се използва за проверка, Системата на Eufy всъщност не си върши работата и ще провери всичко поставено на нейно място, включително глупости думи.
Като се има предвид този конкретен дизайн, всеки със серийния номер на вашия фотоапарат теоретично би могъл да получи достъп, докато камерата е будна.
Известията за миниатюри на Eufy качват изображения в облака. Лесното решение е да деактивирате миниатюрите в приложението Eufy.
Мур се е свързал с поддръжката на Eufy и те потвърждават доказателствата, цитирайки, че тези качвания се случват, за да помогнат с известия и други данни. Поддръжката изглежда не е предоставила валидна причина, поради която потребителските данни, които могат да бъдат идентифицирани, също са прикачени към миниатюрите, което може да отвори огромна дупка в сигурността, за да могат другите да намерят вашите данни с правото инструменти.
Мур казва, че Eufy вече е коригирал някои от проблемите, което прави невъзможно проверката на състоянието на съхранените облачни данни, и е издал следното изявление:
„За съжаление (или за щастие, както и да го погледнете), Eufy вече премахна мрежовото повикване и силно криптира други, за да го направи почти невъзможно за откриване; така че предишните ми PoC вече не работят. Може да успеете да извикате конкретната крайна точка ръчно, като използвате показаните полезни натоварвания, които пак може да върнат резултат."
Android Central обсъжда с Eufy и Paul Moore и ще продължи да актуализира тази статия с развитието на ситуацията. На този етап е безопасно да се каже, че ако сте загрижени за поверителността си – което абсолютно трябва да сте – няма много смисъл да използвате камера Eufy или вътре или извън дома ви.
Eufy издаде това актуализирано изявление на 2 декември:
„eufy Security категорично не е съгласна с обвиненията срещу компанията относно сигурността на нашите продукти. Разбираме обаче, че последните събития може да са причинили безпокойство на някои потребители. Ние често преглеждаме и тестваме нашите функции за сигурност и насърчаваме обратната връзка от по-широката индустрия за сигурност, за да гарантираме, че адресираме всички надеждни уязвимости в сигурността. Ако бъде идентифицирана достоверна уязвимост, ние предприемаме необходимите действия, за да я коригираме. В допълнение, ние спазваме всички подходящи регулаторни органи на пазарите, където се продават нашите продукти. И накрая, насърчаваме потребителите да се свързват с нашия специализиран екип за поддръжка на клиенти с въпроси."
Първото изявление и обяснение на Eufy са по-долу. Освен това сме включили и оригиналното доказателство на Пол Мур за концепцията на проблема.
Обяснението на Eufy
На 29 ноември Eufy каза на Android Central, че неговите „продукти, услуги и процеси са в пълно съответствие със стандартите на Общия регламент за защита на данните (GDPR), включително ISO 27701/27001 и ETSI 303645 сертификати."
По подразбиране известията на камерата са настроени само на текст и не генерират или качват миниатюри от какъвто и да е вид. В случая на г-н Мур той активира опцията за показване на миниатюри заедно с известието. Ето как изглежда в приложението.
Eufy казва, че тези миниатюри се качват временно на неговите AWS сървъри и след това се обединяват в известието към устройството на потребителя. Тази логика се проверява, тъй като известията се обработват от страна на сървъра и обикновено едно текстово известие от сървърите на Eufy няма да включва никакви данни за изображения, освен ако не е посочено друго.
Eufy казва, че неговите практики за насочено уведомяване са „в съответствие с услугата за насочено уведомяване на Apple и Firebase Cloud Messaging standards“ и автоматично изтриване, но не посочи времева рамка, в която това трябва възникне.
Освен това Eufy казва, че „миниатюрите използват криптиране от страна на сървъра“ и не трябва да се виждат от потребители, които не са влезли. Доказателството за концепцията на г-н Мур по-долу използва същата инкогнито сесия на уеб браузър за извличане на миниатюри, като по този начин използва същия уеб кеш, с който той преди това се е удостоверил.
Eufy казва, че „въпреки че нашето приложение за защита на eufy позволява на потребителите да избират между базирани на текст или миниатюри базирани насочени известия, не беше изяснено, че избирането на известия, базирани на миниатюри, ще изисква изображения за предварителен преглед да бъдат хоствани за кратко в облак. Тази липса на комуникация беше пропуск от наша страна и ние искрено се извиняваме за нашата грешка."
Eufy казва, че прави следните промени, за да подобри комуникацията по този въпрос:
- Ревизираме езика на опцията за насочени известия в приложението за защита на eufy, за да уточним ясно това насочените известия с миниатюри изискват визуализация на изображения, които ще бъдат временно съхранени в облака.
- Ще бъдем по-ясни относно използването на облак за насочени известия в нашите насочени към потребителите маркетингови материали.
Eufy все още не е отговорил на няколко последващи въпроса, изпратени от Android Central, за допълнителни проблеми, открити в доказателството за концепцията на Пол Мур по-долу. Понастоящем изглежда, че методите за сигурност на Eufy са погрешни и ще трябва да бъдат преработени, преди да бъдат коригирани.
Доказателство за концепцията на Пол Мур
Eufy продава два основни типа камери: камери, които се свързват директно към Wi-Fi мрежата на вашия дом, и камери, които се свързват само към Eufy HomeBase чрез локална безжична връзка.
Eufy HomeBase са проектирани да съхраняват записите от камерата на Eufy локално чрез твърд диск вътре в устройството. Но дори и да имате HomeBase в дома си, закупуването на SoloCam или Doorbell, които се свързват директно с Wi-Fi, ще съхранява вашите видео данни в самата камера Eufy вместо в HomeBase.
В случая на Пол Мур той използва Eufy Doorbell Dual, който се свързва директно с Wi-Fi и заобикаля HomeBase. Ето първото му видео по въпроса, публикувано на 23 ноември 2022 г.
Във видеото Мур показва как Eufy качва както изображението, заснето от камерата, така и изображението за лицево разпознаване. Освен това той показва, че изображението за лицево разпознаване се съхранява заедно с няколко бита метаданни, два от които включват неговото потребителско име (owner_ID), друг потребителски идентификатор и запаметения и съхранен идентификатор за лицето му (AI_Face_ID).
Това, което влошава нещата е, че Мур използва друга камера, за да задейства събитие за движение, след което проверява данните, прехвърлени към сървърите на Eufy в облака на AWS. Мур казва, че е използвал различна камера, различно потребителско име и дори различна HomeBase, за да „съхрани“ кадрите локално, но Eufy успя да маркира и свърже идентификацията на лицето със снимката си.
Това доказва, че Eufy съхранява тези данни за разпознаване на лица в своя облак и на всичкото отгоре е което позволява на камерите лесно да идентифицират съхранени лица, въпреки че не са собственост на хората в тях изображения. За да подкрепи това твърдение, Мур записа друго видео, в което изтрива клиповете и доказва, че изображенията все още се намират на AWS сървърите на Eufy.
Освен това Мур казва, че е успял да предава поточно запис на живо от камерата на звънеца без никакви удостоверяване, но не предостави публично доказателство за концепцията поради възможната злоупотреба с тактиката, ако трябваше да бъде публично достояние. Той е уведомил Eufy директно и оттогава е предприел правни мерки, за да гарантира, че Eufy спазва изискванията.
В момента това изглежда много зле за Eufy. Компанията от години стои само зад запазването на потребителските данни локални и никога не се качват в облака. Докато Eufy също има облачни услуги, не трябва да се качват данни в облака, освен ако потребителят изрично не разреши подобна практика.
Освен това съхраняването на потребителски идентификатори и други данни, позволяващи лично идентифициране, заедно със снимка на лицето на човек наистина е масово нарушение на сигурността. Въпреки че оттогава Eufy коригира възможността за лесно намиране на URL адресите и други данни, изпращани в облака, има в момента няма начин да се провери дали Eufy продължава или не продължава да съхранява тези данни в облака без потребител съгласие.