Mida peate teadma
- Turvateadlane Paul Moore avastas Eufy kaamerates mitmeid turvavigu.
- Kasutajate pilte ja näotuvastusandmeid saadetakse pilve ilma kasutaja nõusolekuta ning kaamera reaalajas voogudele pääseb juurde väidetavalt ilma autentimiseta.
- Moore ütleb, et mõned probleemid on vahepeal parandatud, kuid ei saa kontrollida, kas pilvandmed on õigesti kustutatud. Ühendkuningriigi elanik Moore on GDPR-i võimaliku rikkumise tõttu võtnud Eufy vastu õiguslikke meetmeid.
- Eufy tugi on kinnitanud mõningaid probleeme ja väljastanud selle kohta ametliku avalduse, öeldes, et rakenduse värskendus pakub selget keelt.
Värskendus 29. november, 11.32: Lisati Android Centralile Paul Moore'i vastus.
Värskendus 29. november, 15.30: Eufy avaldas avalduse, milles selgitas, mis toimub, mida näete allpool Eufy selgituste jaotises.
Värskendus 1. detsember, 10.20: Lisatud teave The Verge paljastas, mis kinnitab, et krüptimata kaameravoogudele pääseb juurde tarkvara, näiteks VLC kaudu.
Värskendus 2. detsember, 9.08: Lisatud Eufy uusim avaldus.
Aktiivsete Eufy kaamerate videomaterjalile pääseb juurde videotarkvara, näiteks VLC kaudu, isegi ilma korraliku autentimiseta.
Eufy Security on aastaid olnud uhke oma kasutajate privaatsuse kaitsmise mantra üle, peamiselt ainult videote ja muude asjakohaste andmete kohapeal salvestamise kaudu. Kuid turvateadlane seab selle kahtluse alla, viidates tõenditele, mis näitavad, et mõned Eufy kaamerad on fotode, näotuvastuspiltide ja muude privaatsete andmete üleslaadimine oma pilveserveritesse ilma kasutajata nõusolekut.
A säutsude sari infoturbe konsultant Paul Moore näib näitavat Eufy Doorbell Dual kaamerat, mis laadib näotuvastusandmed üles Eufy AWS-pilve ilma krüptimiseta. Moore näitab, et neid andmeid salvestatakse koos konkreetse kasutajanime ja muu tuvastatava teabega. Lisaks ütleb Moore, et neid andmeid hoitakse Eufy Amazoni-põhistes serverites isegi siis, kui kaadrid on Eufy rakendusest "kustutatud".
Lisaks väidab Moore, et kaamerate videoid saab veebibrauseri kaudu voogesitada, sisestades õige URL-i ja et nende videote vaatamiseks ei pea olema autentimisteavet. The Verge on sellest ajast peale saanud meetodi krüptimata videote voogesitamiseks Eufy kaameratest ja ütleb, et suutis tasuta VLC-rakenduse kaudu videoid voogesitada ilma korraliku autentimiseta.
The Verge ütles ka, et ta ei pääse sellele videole juurde, välja arvatud juhul, kui kaamera oli juba äratatud, tavaliselt liikumistuvastuse sündmuse ja sellele järgneva salvestuse tõttu. Magamiskaameraid ei saa seda meetodit kasutades juhuslikult äratada ega neile kaugjuurdepääsu võimaldada.
Moore näitab tõendeid selle kohta, et Eufy kaamerate videod, mis on krüpteeritud AES 128 krüptimisega, tehakse seda ainult lihtsa võtmega, mitte õige juhusliku stringiga. Näites salvestati Moore'i videod krüpteerimisvõtmega "ZXSecurity17Cam@". See on midagi, mida igaüks, kes teie filmimaterjali tõesti soovib, saaks hõlpsasti lahti murda.
Igaüks, kellel on teie kaamera seerianumber, võib teoreetiliselt pääseda juurde seni, kuni kaamera on ärkvel.
Praegu näib, et kaamera voo vaatamiseks kasutatud aadress on nüüd rakendusest ja veebiliides, nii et kui keegi seda aadressi avalikuks ei tee, pole tõenäoline, et seda ärakasutamist looduses kasutatakse.
Kui see aadress avalikustatakse, on The Verge'i uurimise kohaselt vaja sisenemiseks ainult teie kaamera seerianumbrit, mis on kodeeritud Base64-sse. Verge ütleb ka, et kuigi aadress sisaldab Unixi ajatemplit, mida tuleks kasutada kontrollimiseks, Eufy süsteem ei tee tegelikult oma tööd ja kontrollib kõike, mis on selle asemele pandud, sealhulgas jama sõnad.
Arvestades seda konkreetset disaini, võivad kõik, kellel on teie kaamera seerianumber, teoreetiliselt ligi pääseda seni, kuni kaamera on ärkvel.
Eufy pisipiltide märguanded laadivad pilte pilve. Lihtne lahendus on pisipiltide keelamine rakenduses Eufy.
Moore on Eufy toega ühendust võtnud ja nad kinnitavad tõendeid, viidates sellele, et need üleslaadimised toimuvad teatiste ja muude andmete abistamiseks. Tundub, et tugi ei andnud mõjuvat põhjust, miks on lisatud ka tuvastatavad kasutajaandmed pisipildid, mis võivad avada tohutu turvaaugu, et teised saaksid teie andmeid õigesti leida tööriistad.
Moore ütleb, et Eufy on mõned probleemid juba parandanud, muutes salvestatud pilveandmete oleku kontrollimise võimatuks, ja on väljastanud järgmise avalduse:
"Kahjuks (või õnneks, kuidas iganes te seda vaatate) on Eufy juba võrgukõne eemaldanud ja teised tugevalt krüpteerinud, et muuta seda peaaegu võimatuks; nii et mu eelmised PoC-d enam ei tööta. Võimalik, et saate kuvatud kasulike koormuste abil konkreetsele lõpp-punktile käsitsi helistada, mis võib siiski tulemuse tagastada.
Android Central arutab nii Eufy kui ka Paul Moore'iga ning jätkab selle artikli värskendamist olukorra arenedes. Siinkohal võib kindlalt öelda, et kui tunnete muret oma privaatsuse pärast – mida te kindlasti peaksite olema –, pole Eufy kaamera kasutamine mõttekas. kas või sees või väljaspool teie kodu.
Eufy avaldas selle värskendatud avalduse 2. detsembril:
"Eufy Security ei nõustu kindlalt ettevõttele esitatud süüdistustega, mis puudutavad meie toodete turvalisust. Siiski mõistame, et hiljutised sündmused võisid mõne kasutaja jaoks muret tekitada. Vaatame sageli üle ja testime oma turvafunktsioone ning julgustame andma tagasisidet laiemast turbetööstusest, et tagada kõigi usaldusväärsete turvanõrkuste kõrvaldamine. Kui tuvastatakse usaldusväärne haavatavus, võtame selle parandamiseks vajalikud meetmed. Lisaks järgime kõiki asjakohaseid reguleerivaid asutusi turgudel, kus meie tooteid müüakse. Lõpuks soovitame kasutajatel küsimustega ühendust võtta meie pühendunud klienditoe meeskonnaga."
Eufy esimene väide ja selgitus on allpool. Lisaks oleme lisanud ka Paul Moore'i algse tõendi selle probleemi kontseptsiooni kohta.
Eufy selgitus
29. novembril ütles Eufy Android Centralile, et tema tooted, teenused ja protsessid vastavad täielikult nõuetele Üldise andmekaitsemääruse (GDPR) standarditega, sealhulgas ISO 27701/27001 ja ETSI 303645 sertifikaadid."
Vaikimisi on kaamera märguanded seatud ainult tekstipõhiseks ja ei genereeri ega laadi üles mingeid pisipilte. Hr Moore'i puhul võimaldas ta pisipiltide kuvamise võimaluse koos teatisega. Nii näeb see rakenduses välja.
Eufy ütleb, et need pisipildid laaditakse ajutiselt üles tema AWS-serveritesse ja seejärel koondatakse kasutaja seadmesse saadetavasse teatisse. Seda loogikat kontrollitakse, kuna teatisi käsitletakse serveri poolel ja tavaliselt ei sisalda Eufy serveritelt saadav tekstiteatis mingeid pildiandmeid, kui pole teisiti määratud.
Eufy ütleb, et tema tõuketeavitamise tavad on "kooskõlas Apple'i tõuketeatise teenusega ja Firebase'i pilvsõnumside standardid" ja automaatne kustutamine, kuid ei määranud ajavahemikku, mille jooksul see peaks esineda.
Lisaks ütleb Eufy, et "pisipildid kasutavad serveripoolset krüptimist" ja ei tohiks olla nähtavad kasutajatele, kes pole sisse logitud. Hr Moore'i kontseptsiooni tõend allpool kasutas pisipiltide toomiseks sama inkognito režiimis veebibrauseri seanssi, kasutades seega sama veebivahemälu, millega ta varem autentis.
Eufy ütleb, et "kuigi meie eufy Security rakendus võimaldab kasutajatel valida teksti- või pisipildipõhiste tõukemärguannete vahel, ei tehtud selgeks, et pisipildipõhiste märguannete valimine eeldab eelvaatepiltide lühiajalist hostimist pilv. See suhtluse puudumine oli meiepoolne möödalaskmine ja vabandame oma vea pärast siiralt."
Eufy ütleb, et teeb selles küsimuses suhtlemise parandamiseks järgmised muudatused:
- Vaatame üle tõukemärguannete keele eufy Security rakenduses, et seda selgelt täpsustada pisipiltidega tõukemärguannete jaoks on vaja eelvaatepilte, mis salvestatakse ajutiselt pilve.
- Selgitame oma tarbijatele suunatud turundusmaterjalides pilve kasutamist push-teadete jaoks.
Eufy ei ole veel vastanud mitmele järelküsimusele, mille Android Central saatis täiendavate probleemide kohta, mis leiti allpool Paul Moore'i kontseptsiooni tõendis. Praegu tundub, et Eufy turvameetodid on vigased ja neid tuleb enne parandamist ümber kujundada.
Paul Moore'i kontseptsiooni tõestus
Eufy müüb kahte peamist tüüpi kaameraid: kaameraid, mis ühenduvad otse teie kodu Wi-Fi võrku, ja kaameraid, mis ühenduvad Eufy HomeBase'iga ainult kohaliku traadita ühenduse kaudu.
Eufy HomeBase'id on loodud selleks, et salvestada Eufy kaamera kaadreid kohapeal seadme sees oleva kõvaketta kaudu. Kuid isegi kui teil on kodus HomeBase, salvestab otse Wi-Fi-ga ühendatava SoloCami või uksekella ostmisel teie videoandmed HomeBase'i asemel Eufy kaamerasse.
Paul Moore'i puhul kasutas ta Eufy Doorbell Duali, mis ühendub otse Wi-Fi-ga ja läheb HomeBase'ist mööda. Siin on tema esimene video sellel teemal, mis avaldati 23. novembril 2022.
Moore näitab videos, kuidas Eufy laadib üles nii kaamerast jäädvustatud pilti kui ka näotuvastuspilti. Lisaks näitab ta, et näotuvastuspilt on salvestatud koos mitme metaandmete bitiga, millest kaks mis sisaldavad tema kasutajanime (owner_ID), teist kasutaja ID-d ning tema näo jaoks salvestatud ja salvestatud ID-d (AI_Face_ID).
Asja teeb hullemaks see, et Moore kasutab liikumissündmuse käivitamiseks teist kaamerat ja uurib seejärel AWS-i pilves Eufy serveritesse edastatud andmeid. Moore ütleb, et ta kasutas kaadrite kohapealseks salvestamiseks erinevat kaamerat, erinevat kasutajanime ja isegi erinevat HomeBase'i, kuid Eufy suutis näo ID oma pildiga sildistada ja linkida.
See tõestab, et Eufy salvestab need näotuvastusandmed oma pilve ja pealegi on võimaldades kaameratel hõlpsasti tuvastada salvestatud nägusid, isegi kui need ei kuulu nendes olevatele inimestele pilte. Selle väite kinnitamiseks salvestas Moore veel ühe video, kus ta kustutas klipid ja tõestas, et pildid asuvad endiselt Eufy AWS-i serverites.
Lisaks ütleb Moore, et suutis oma uksekellakaamerast otseülekandeid ilma selleta voogesitada autentimist, kuid ei esitanud kontseptsiooni avalikku tõendit taktika võimaliku väärkasutuse tõttu, kui see peaks juhtuma avalikustada. Ta on teavitanud Eufyt otse ja on pärast seda võtnud õiguslikke meetmeid, et tagada Eufy nõuete täitmine.
Praegu tundub see Eufy jaoks väga halb. Ettevõte on aastaid seisnud ainult kasutajaandmete lokaalse hoidmise ja mitte kunagi pilve üleslaadimise taga. Kuigi Eufy samuti omab pilveteenuseid, ei tohi andmeid pilve üles laadida, välja arvatud juhul, kui kasutaja seda konkreetselt lubab.
Lisaks on kasutajatunnuste ja muude isikut tuvastavate andmete salvestamine koos inimese näopildiga tõsine turvarikkumine. Kuigi Eufy on sellest ajast peale parandanud võimalust hõlpsalt leida pilve saadetavaid URL-e ja muid andmeid, on praegu ei ole võimalik kontrollida, kas Eufy jätkab või ei jätka nende andmete pilves salvestamist ilma kasutajata nõusolekut.