Co potřebuješ vědět
- Bezpečnostní výzkumník Paul Moore objevil několik bezpečnostních chyb v Eufyho kamerách.
- Uživatelské snímky a údaje o rozpoznání obličeje jsou odesílány do cloudu bez souhlasu uživatele a k živým kanálům z kamery lze údajně přistupovat bez jakéhokoli ověření.
- Moore říká, že některé z problémů byly od té doby opraveny, ale nemůže ověřit, zda jsou cloudová data správně odstraněna. Moore, obyvatel Spojeného království, podnikl právní kroky proti Eufy kvůli možnému porušení GDPR.
- Podpora Eufy potvrdila některé z problémů a vydala oficiální prohlášení k této záležitosti, že aktualizace aplikace nabídne objasněný jazyk.
Aktualizace 29. listopadu, 11:32: Přidána odpověď Paula Moora na Android Central.
Aktualizace 29. listopadu, 15:30: Eufy vydal prohlášení vysvětlující, co se děje, které lze vidět níže v části vysvětlení Eufy.
Aktualizace 1. prosince, 10:20: Přidané informace The Verge odhalilo potvrzení, že k nešifrovaným tokům z kamer lze přistupovat prostřednictvím softwaru, jako je VLC.
Aktualizace 2. prosince, 9:08: Přidáno nejnovější prohlášení od Eufy.
K videozáznamům z aktivních kamer Eufy lze přistupovat prostřednictvím video softwaru, jako je VLC, a to i bez řádného ověření.
Eufy Security se léta pyšní svou mantrou ochrany soukromí uživatelů, a to především tím, že videa a další relevantní data ukládá pouze lokálně. Ale bezpečnostní výzkumník to zpochybňuje a cituje důkazy, které ukazují, že některé kamery Eufy ano nahrávání fotografií, snímků rozpoznávání obličeje a dalších soukromých dat na cloudové servery bez použití uživatele souhlas.
A série tweetů od konzultanta pro bezpečnost informací Paula Moora se zdá, že ukazuje duální kameru Eufy Doorbell Dual, která nahrává data rozpoznávání obličeje do cloudu Eufy's AWS bez šifrování. Moore ukazuje, že tato data jsou uložena vedle konkrétního uživatelského jména a dalších identifikovatelných informací. Moore k tomu dodává, že tato data jsou uchovávána na serverech Eufy založených na Amazonu, i když byly záběry „smazány“ z aplikace Eufy.
Moore dále tvrdí, že videa z kamer lze streamovat přes webový prohlížeč zadáním správné adresy URL a že pro zobrazení uvedených videí nemusí být přítomny žádné ověřovací informace. The Verge od té doby získala metodu streamování nešifrovaných videí z kamer Eufy a říká, že byla schopna streamovat videa prostřednictvím bezplatné aplikace VLC bez jakéhokoli řádného ověření.
The Verge také uvedl, že nebyl schopen získat přístup k tomuto videu, pokud kamera již nebyla probuzena, obvykle detekcí pohybu a následným záznamem. Pomocí této metody nelze spící kamery náhodně probudit ani k nim vzdáleně přistupovat.
Moore ukazuje důkazy, že videa z kamer Eufy, která jsou šifrována pomocí šifrování AES 128, se tak dělají pouze pomocí jednoduchého klíče, nikoli pomocí správného náhodného řetězce. V příkladu byla Mooreova videa uložena s šifrovacím klíčem „ZXSecurity17Cam@“, tedy něco, co by snadno prolomil každý, kdo by skutečně chtěl vaše záběry.
Kdokoli se sériovým číslem vašeho fotoaparátu by teoreticky mohl získat přístup, pokud je fotoaparát v režimu spánku.
V tuto chvíli se zdá, že adresa použitá k zobrazení streamu z kamery byla nyní skryta před aplikací a aplikací webové rozhraní, takže pokud někdo nezveřejní tuto adresu, není pravděpodobné, že tento exploit bude používán ve volné přírodě.
Pokud by tato adresa měla být zveřejněna, bude pro získání vstupu potřeba pouze sériové číslo vaší kamery zakódované v Base64, podle vyšetřování The Verge. The Verge také říká, že i když adresa obsahuje časové razítko Unix, které by mělo být použito pro ověření, Systém Eufy ve skutečnosti nedělá svou práci a ověří cokoli, co je na jeho místo vloženo, včetně nesmyslů slova.
Vzhledem k tomuto konkrétnímu designu by teoreticky mohl získat přístup kdokoli se sériovým číslem vašeho fotoaparátu, pokud je fotoaparát v režimu spánku.
Upozornění na miniatury Eufy nahrávají obrázky do cloudu. Jednoduchá oprava je zakázat miniatury v aplikaci Eufy.
Moore byl v kontaktu s podporou Eufy a ta potvrzují důkazy a uvádí, že k těmto nahráváním dochází, aby pomohly s oznámeními a dalšími údaji. Zdá se, že podpora neposkytla platný důvod, proč jsou k nim připojena také identifikovatelná uživatelská data miniatury, které by mohly otevřít obrovskou bezpečnostní díru pro ostatní, aby našli vaše data správně nástroje.
Moore říká, že Eufy již opravil některé problémy, takže není možné ověřit stav uložených cloudových dat, a vydal následující prohlášení:
„Bohužel (nebo naštěstí, ať se na to díváte jakkoli), Eufy již síťové volání odstranil a ostatní silně zašifroval, aby bylo téměř nemožné ho detekovat; takže moje předchozí PoC už nefungují. Můžete být schopni zavolat konkrétní koncový bod ručně pomocí zobrazených datových částí, což může stále vrátit výsledek."
Android Central je v jednání s Eufym i Paulem Moorem a bude tento článek nadále aktualizovat, jak se situace vyvine. V tuto chvíli lze s jistotou říci, že pokud máte obavy o své soukromí – což byste bezpodmínečně měli – nemá příliš smysl používat kameru Eufy buď uvnitř nebo mimo váš domov.
Eufy vydal toto aktualizované prohlášení 2. prosince:
„eufy Security rozhodně nesouhlasí s obviněními vznesenými proti společnosti ohledně bezpečnosti našich produktů. Chápeme však, že nedávné události mohly některé uživatele znepokojit. Naše bezpečnostní funkce často kontrolujeme a testujeme a podporujeme zpětnou vazbu od širšího bezpečnostního odvětví, abychom zajistili, že vyřešíme všechny důvěryhodné bezpečnostní chyby. Pokud je identifikována věrohodná zranitelnost, podnikneme nezbytná opatření k její nápravě. Kromě toho dodržujeme všechny příslušné regulační orgány na trzích, kde se naše produkty prodávají. Nakonec doporučujeme uživatelům, aby se s dotazy obrátili na náš specializovaný tým zákaznické podpory."
Eufyho první prohlášení a vysvětlení jsou níže. Kromě toho jsme zahrnuli také původní důkaz konceptu problému od Paula Moora.
Eufyho vysvětlení
29. listopadu Eufy řekl Android Central, že jeho „produkty, služby a procesy jsou plně v souladu se standardy General Data Protection Regulation (GDPR), včetně ISO 27701/27001 a ETSI 303645 certifikace."
Ve výchozím nastavení jsou oznámení fotoaparátu nastavena pouze na text a negenerují ani neodesílají žádné miniatury. V případě pana Moora povolil možnost zobrazovat spolu s upozorněním i miniatury. V aplikaci to vypadá takto.
Eufy říká, že tyto miniatury jsou dočasně nahrány na její servery AWS a poté spojeny do oznámení na zařízení uživatele. Tato logika se kontroluje, protože oznámení jsou zpracovávána na straně serveru a normálně by pouze textové oznámení ze serverů Eufy neobsahovalo žádný druh obrazových dat, pokud není uvedeno jinak.
Eufy říká, že její postupy push notifikace jsou „v souladu se službou Apple Push Notification a standardy Firebase Cloud Messaging“ a automatické mazání, ale nespecifikoval časový rámec, ve kterém by to mělo být nastat.
Eufy navíc říká, že „miniatury využívají šifrování na straně serveru“ a neměly by být viditelné pro uživatele, kteří nejsou přihlášeni. Níže uvedený důkaz konceptu pana Moora použil stejnou inkognito relaci webového prohlížeče k načtení miniatur, čímž využil stejnou webovou mezipaměť, se kterou se dříve ověřil.
Eufy říká, že „ačkoli naše aplikace eufy Security umožňuje uživatelům vybrat si mezi oznámeními push na základě textu nebo miniatur, nebylo jasné, že výběr oznámení na základě miniatur by vyžadoval, aby náhled obrázků byl krátce hostován v mrak. Tento nedostatek komunikace byl z naší strany nedopatřením a upřímně se omlouváme za naši chybu."
Eufy říká, že za účelem zlepšení komunikace v této věci provádí následující změny:
- Revidujeme jazyk možností oznámení push v aplikaci eufy Security, abychom to jasně popsali push notifikace s miniaturami vyžadují náhledové obrázky, které budou dočasně uloženy v cloudu.
- V našich marketingových materiálech pro spotřebitele budeme mít jasnější informace o používání cloudu pro push notifikace.
Eufy dosud neodpověděl na několik následných otázek, které Android Central zaslal a které se ptají na další problémy nalezené v níže uvedeném důkazu konceptu od Paula Moora. V tuto chvíli se zdá, že Eufyho bezpečnostní metody jsou chybné a než budou opraveny, bude nutné je přepracovat.
Důkaz konceptu Paula Moora
Eufy prodává dva hlavní typy kamer: kamery, které se připojují přímo k vaší domácí Wi-Fi síti, a kamery, které se k Eufy HomeBase připojují pouze prostřednictvím místního bezdrátového připojení.
Eufy HomeBase jsou navrženy tak, aby ukládaly záznamy z kamer Eufy lokálně prostřednictvím pevného disku uvnitř jednotky. Ale i když máte doma HomeBase, nákup SoloCam nebo Doorbell, který se připojuje přímo k Wi-Fi, uloží vaše video data na samotnou kameru Eufy místo na HomeBase.
V případě Paula Moora používal Eufy Doorbell Dual, který se připojuje přímo k Wi-Fi a obchází HomeBase. Zde je jeho první video na toto téma, zveřejněné 23. listopadu 2022.
Ve videu Moore ukazuje, jak Eufy nahrává jak snímek pořízený z kamery, tak snímek rozpoznávání obličeje. Dále ukazuje, že obraz rozpoznání obličeje je uložen vedle několika bitů metadat, dvou z nich které zahrnují jeho uživatelské jméno (vlastník_ID), jiné uživatelské ID a uložené a uložené ID jeho tváře (AI_Face_ID).
Ještě horší je, že Moore používá jinou kameru ke spuštění události pohybu a poté zkoumá data přenesená na servery Eufy v cloudu AWS. Moore říká, že použil jinou kameru, jiné uživatelské jméno a dokonce i jinou HomeBase k místnímu „uložení“ záběrů, přesto Eufy dokázal označit a propojit ID obličeje se svým snímkem.
To dokazuje, že Eufy ukládá tato data rozpoznávání obličeje ve svém cloudu a navíc je umožňuje kamerám snadno identifikovat uložené tváře, i když je nevlastní lidé na nich snímky. Aby toto tvrzení podpořil, Moore nahrál další video, na kterém maže klipy a dokazuje, že obrázky jsou stále umístěny na serverech Eufyho AWS.
Navíc Moore říká, že byl schopen streamovat živé záběry ze své zvonkové kamery bez jakýchkoliv autentizace, ale neposkytla veřejný důkaz konceptu kvůli možnému zneužití taktiky, pokud by k tomu došlo být zveřejněn. Informoval přímo Eufy a od té doby přijal právní opatření, aby zajistil, že Eufy splňuje.
V tuto chvíli to pro Eufy vypadá velmi špatně. Společnost již roky stojí za tím, že pouze udržuje uživatelská data lokálně a nikdy je nenahrává do cloudu. Zatímco Eufy taky má cloudové služby, neměla by se do cloudu nahrávat žádná data, pokud to uživatel výslovně nepovolí.
Kromě toho je ukládání uživatelských ID a dalších osobně identifikovatelných dat vedle obrázku obličeje osoby skutečně masivním porušením zabezpečení. Zatímco Eufy od té doby opravila možnost snadno najít adresy URL a další data odesílaná do cloudu, existuje v současné době neexistuje způsob, jak ověřit, zda Eufy nadále ukládá tato data v cloudu bez uživatele souhlas.