Hvad du behøver at vide
- Sikkerhedsforsker Paul Moore har opdaget flere sikkerhedsfejl i Eufys kameraer.
- Brugerbilleder og ansigtsgenkendelsesdata sendes til skyen uden brugerens samtykke, og live kamerafeeds kan angiveligt tilgås uden nogen form for godkendelse.
- Moore siger, at nogle af problemerne siden er blevet rettet, men kan ikke bekræfte, at skydata slettes korrekt. Moore, der er bosiddende i Storbritannien, har taget retslige skridt mod Eufy på grund af et muligt brud på GDPR.
- Eufy-support har bekræftet nogle af problemerne og udsendt en officiel erklæring om sagen, der siger, at en appopdatering vil tilbyde et tydeligt sprog.
Opdatering 29. november kl. 11:32: Tilføjet Paul Moores svar til Android Central.
Opdatering 29. november kl. 15.30: Eufy udsendte en erklæring, der forklarer, hvad der foregår, som kan ses nedenfor i Eufys forklaringssektion.
Opdatering 1. december kl. 10:20: Tilføjet information The Verge afslørede, hvilket bekræfter, at ukrypterede kamerastreams kan tilgås via software som VLC.
Opdatering 2. december kl. 9:08: Tilføjet den seneste erklæring fra Eufy.
Videooptagelser fra aktive Eufy-kameraer kan tilgås via videosoftware som VLC, selv uden korrekt godkendelse.
Eufy Security har i årevis været stolt af sit mantra om at beskytte brugernes privatliv, primært ved kun at gemme videoer og andre relevante data lokalt. Men en sikkerhedsforsker sætter spørgsmålstegn ved dette med henvisning til beviser, der viser, at nogle Eufy-kameraer er det uploade billeder, ansigtsgenkendelsesbilleder og andre private data til sine cloud-servere uden bruger samtykke.
EN serie af tweets fra informationssikkerhedskonsulent Paul Moore ser ud til at vise et Eufy Doorbell Dual-kamera, der uploader ansigtsgenkendelsesdata til Eufys AWS-sky uden kryptering. Moore viser, at disse data bliver gemt sammen med et specifikt brugernavn og andre identificerbare oplysninger. Derudover siger Moore, at disse data opbevares på Eufys Amazon-baserede servere, selv når optagelserne er blevet "slettet" fra Eufy-appen.
Desuden hævder Moore, at videoer fra kameraer kan streames via en webbrowser ved at indtaste den rigtige URL, og at der ikke skal være nogen godkendelsesinformation til stede for at se de nævnte videoer. Randen har siden fået metoden til at streame ukrypterede videoer fra Eufy-kameraer og siger, at den var i stand til at streame videoer via den gratis VLC-app uden nogen ordentlig godkendelse.
The Verge sagde også, at det ikke var i stand til at få adgang til denne video, medmindre kameraet allerede var blevet vækket, normalt af en bevægelsesdetektionsbegivenhed og efterfølgende optagelse. Sovende kameraer kan ikke vækkes tilfældigt eller få fjernadgang ved hjælp af denne metode.
Moore viser bevis for, at videoer fra Eufy-kameraer, der er krypteret med AES 128-kryptering, kun gøres med en simpel nøgle frem for en ordentlig tilfældig streng. I eksemplet blev Moores videoer gemt med "ZXSecurity17Cam@" som krypteringsnøgle, noget der nemt ville blive knækket af enhver, der virkelig ville have dine optagelser.
Enhver med dit kameras serienummer kunne teoretisk set være i stand til at få adgang, så længe kameraet er vågent.
På nuværende tidspunkt ser det ud til, at adressen, der bruges til at se et kameras stream, nu er blevet skjult fra appen og webgrænseflade, så medmindre nogen offentliggør denne adresse, er det ikke sandsynligt, at denne udnyttelse vil blive brugt i naturen.
Hvis den adresse skulle offentliggøres, kræver det kun dit kameras serienummer kodet i Base64 for at få adgang, ifølge The Verges undersøgelse. The Verge siger også, at mens adressen inkluderer et Unix-tidsstempel, der skal bruges til verifikation, Eufys system gør faktisk ikke sit arbejde og vil bekræfte alt, der er sat i stedet, inklusive nonsens ord.
I betragtning af dette særlige design vil enhver med dit kameras serienummer teoretisk kunne få adgang, så længe kameraet er vågent.
Eufys thumbnail-meddelelser uploader billeder til skyen. Den enkle løsning er at deaktivere miniaturebilleder i Eufy-appen.
Moore har været i kontakt med Eufy support, og de bekræfter beviserne og citerer, at disse uploads sker for at hjælpe med meddelelser og andre data. Support ser ikke ud til at have givet en gyldig grund til, at identificerbare brugerdata også er knyttet til thumbnails, som kan åbne et kæmpe sikkerhedshul for andre til at finde dine data med ret værktøjer.
Moore siger, at Eufy allerede har rettet nogle af problemerne, hvilket gør det umuligt at verificere status for lagrede clouddata, og har udsendt følgende erklæring:
"Desværre (eller heldigvis, hvordan man end ser på det), har Eufy allerede fjernet netværksopkaldet og stærkt krypteret andre for at gøre det næsten umuligt at opdage; så mine tidligere PoC'er virker ikke længere. Du kan muligvis kalde det specifikke slutpunkt manuelt ved at bruge de viste nyttelaster, hvilket stadig kan returnere et resultat."
Android Central er i diskussion med både Eufy og Paul Moore og vil fortsætte med at opdatere denne artikel, efterhånden som situationen udvikler sig. På dette tidspunkt er det sikkert at sige, at hvis du er bekymret for dit privatliv - hvilket du absolut burde være - giver det ikke meget mening at bruge et Eufy-kamera enten indeni eller uden for dit hjem.
Eufy udsendte denne opdaterede erklæring den 2. december:
"eufy Security er fuldstændig uenig i de anklager, der er rejst mod virksomheden vedrørende sikkerheden af vores produkter. Vi forstår dog, at de seneste begivenheder kan have skabt bekymring for nogle brugere. Vi gennemgår og tester ofte vores sikkerhedsfunktioner og opfordrer til feedback fra den bredere sikkerhedsindustri for at sikre, at vi løser alle troværdige sikkerhedssårbarheder. Hvis der identificeres en troværdig sårbarhed, tager vi de nødvendige foranstaltninger for at rette op på den. Derudover overholder vi alle relevante reguleringsorganer på de markeder, hvor vores produkter sælges. Endelig opfordrer vi brugerne til at kontakte vores dedikerede kundesupportteam med spørgsmål."
Eufys første udtalelse og forklaring er nedenfor. Ud over det har vi også inkluderet Paul Moores originale proof of concept af problemet.
Eufys forklaring
Den 29. november fortalte Eufy Android Central, at dets "produkter, tjenester og processer er i fuld overensstemmelse med General Data Protection Regulation (GDPR) standarder, herunder ISO 27701/27001 og ETSI 303645 certificeringer."
Som standard er kamerameddelelser indstillet til kun tekst og genererer eller uploader ikke et miniaturebillede af nogen art. I Mr. Moores tilfælde aktiverede han muligheden for at vise miniaturebilleder sammen med meddelelsen. Sådan ser det ud i appen.
Eufy siger, at disse miniaturer midlertidigt uploades til dets AWS-servere og derefter bundtet ind i meddelelsen til en brugers enhed. Denne logik checker ud, da meddelelser håndteres på serversiden, og normalt vil en kun tekstmeddelelse fra Eufys servere ikke indeholde nogen form for billeddata, medmindre andet er angivet.
Eufy siger, at dens push notifikationspraksis er "i overensstemmelse med Apple Push Notification service og Firebase Cloud Messaging-standarder" og automatisk sletning, men specificerede ikke en tidsramme, inden for hvilken dette skulle forekomme.
Desuden siger Eufy, at "thumbnails bruger server-side-kryptering" og ikke bør være synlige for brugere, der ikke er logget ind. Mr. Moores proof of concept nedenfor brugte den samme inkognito-webbrowsersession til at hente miniaturebilleder, hvorved han brugte den samme webcache, som han tidligere godkendte med.
Eufy siger, at "selv om vores eufy Security-app giver brugerne mulighed for at vælge mellem tekstbaserede eller miniature-baserede push-meddelelser, det blev ikke gjort klart, at valg af miniaturebilleder-baserede meddelelser ville kræve, at forhåndsvisningsbilleder kortvarigt hostes i Sky. Den manglende kommunikation var en forglemmelse fra vores side, og vi beklager oprigtigt for vores fejl."
Eufy siger, at det foretager følgende ændringer for at forbedre kommunikationen om denne sag:
- Vi reviderer sproget for push-meddelelser i eufy Security-appen for tydeligt at beskrive det push-meddelelser med miniaturebilleder kræver forhåndsvisningsbilleder, der midlertidigt gemmes i skyen.
- Vi vil være mere tydelige omkring brugen af cloud til push-meddelelser i vores forbrugervendte marketingmaterialer.
Eufy har endnu ikke svaret på adskillige opfølgende spørgsmål, som Android Central har sendt om yderligere problemer fundet i Paul Moores proof of concept nedenfor. På nuværende tidspunkt ser det ud til, at Eufys sikkerhedsmetoder er fejlbehæftede og vil tage re-engineering, før de er rettet.
Paul Moores proof of concept
Eufy sælger to hovedtyper af kameraer: Kameraer, der forbinder direkte til dit hjems Wi-Fi-netværk, og kameraer, der kun opretter forbindelse til en Eufy HomeBase via en lokal trådløs forbindelse.
Eufy HomeBase's er designet til at gemme Eufy-kameraoptagelser lokalt via en harddisk inde i enheden. Men selvom du har en HomeBase i dit hjem, vil køb af et SoloCam eller en dørklokke, der forbinder direkte til Wi-Fi, gemme dine videodata på selve Eufy-kameraet i stedet for på HomeBase.
I Paul Moores tilfælde brugte han en Eufy Doorbell Dual, som forbinder direkte til Wi-Fi og omgår en HomeBase. Her er hans første video om emnet, offentliggjort den 23. november 2022.
I videoen viser Moore, hvordan Eufy uploader både billedet taget fra kameraet og ansigtsgenkendelsesbilledet. Yderligere viser han, at ansigtsgenkendelsesbilledet er gemt sammen med flere bits af metadata, to af som inkluderer hans brugernavn (owner_ID), et andet bruger-id og det gemte og gemte ID for hans ansigt (AI_Face_ID).
Hvad der gør tingene værre er, at Moore bruger et andet kamera til at udløse en bevægelseshændelse og derefter undersøger de data, der overføres til Eufys servere i AWS-skyen. Moore siger, at han brugte et andet kamera, et andet brugernavn og endda en anden HomeBase til at "gemme" optagelserne lokalt, men alligevel var Eufy i stand til at mærke og linke ansigts-id'et til hans billede.
Det beviser, at Eufy gemmer disse ansigtsgenkendelsesdata i sin sky, og oven i købet er gør det muligt for kameraer let at identificere lagrede ansigter, selvom de ikke ejes af personerne i disse billeder. For at støtte denne påstand optog Moore endnu en video af ham, der sletter klippene og beviser, at billederne stadig er placeret på Eufys AWS-servere.
Derudover siger Moore, at han var i stand til at streame live-optagelser fra sit dørklokkekamera uden nogen autentificering, men gav ikke offentligt bevis på konceptet på grund af mulig misbrug af taktikken, hvis det skulle blive offentliggjort. Han har underrettet Eufy direkte og har siden truffet juridiske foranstaltninger for at sikre, at Eufy overholder.
I øjeblikket ser det meget dårligt ud for Eufy. Virksomheden har i årevis stået bag kun at holde brugerdata lokalt og aldrig uploade til skyen. Mens Eufy også har cloud-tjenester, bør ingen data uploades til skyen, medmindre en bruger specifikt tillader en sådan praksis.
Desuden er lagring af bruger-id'er og andre personligt identificerbare data sammen med et billede af en persons ansigt en massiv sikkerhedskrænkelse. Mens Eufy siden har lappet muligheden for nemt at finde de URL'er og andre data, der sendes til skyen, er der i øjeblikket ingen måde at bekræfte, at Eufy er eller ikke fortsætter med at gemme disse data i skyen uden bruger samtykke.