Que souhaitez-vous savoir
- Le chercheur en sécurité Paul Moore a découvert plusieurs failles de sécurité dans les caméras d'Eufy.
- Les images des utilisateurs et les données de reconnaissance faciale sont envoyées dans le cloud sans le consentement de l'utilisateur, et les flux de caméras en direct sont prétendument accessibles sans aucune authentification.
- Moore dit que certains des problèmes ont depuis été corrigés mais ne peut pas vérifier que les données du cloud sont correctement supprimées. Moore, un résident du Royaume-Uni, a intenté une action en justice contre Eufy en raison d'une éventuelle violation du RGPD.
- Le support Eufy a confirmé certains des problèmes et a publié une déclaration officielle à ce sujet indiquant qu'une mise à jour de l'application offrira un langage clarifié.
Mise à jour du 29 novembre à 11h32 : Ajout de la réponse de Paul Moore à Android Central.
Mise à jour du 29 novembre, 15h30 : Eufy a publié une déclaration expliquant ce qui se passe et qui peut être vue ci-dessous dans la section d'explication d'Eufy.
Mise à jour du 1er décembre à 10h20 : Ajout d'informations que The Verge a découvertes confirmant que les flux de caméras non cryptés sont accessibles via un logiciel comme VLC.
Mise à jour du 2 décembre à 9h08 : Ajout de la dernière déclaration d'Eufy.
Les séquences vidéo des caméras Eufy actives sont accessibles via un logiciel vidéo comme VLC, même sans authentification appropriée.
Pendant des années, Eufy Security s'est enorgueilli de son mantra de protection de la vie privée des utilisateurs, principalement en ne stockant que des vidéos et d'autres données pertinentes localement. Mais un chercheur en sécurité remet cela en question, citant des preuves qui montrent que certaines caméras Eufy sont télécharger des photos, des images de reconnaissance faciale et d'autres données privées sur ses serveurs cloud sans utilisateur consentement.
UN série de Tweets du consultant en sécurité de l'information Paul Moore semble montrer une caméra Eufy Doorbell Dual téléchargeant des données de reconnaissance faciale sur le cloud AWS d'Eufy sans cryptage. Moore montre que ces données sont stockées avec un nom d'utilisateur spécifique et d'autres informations identifiables. De plus, Moore dit que ces données sont conservées sur les serveurs Amazon d'Eufy même lorsque les images ont été "supprimées" de l'application Eufy.
De plus, Moore allègue que les vidéos des caméras peuvent être diffusées via un navigateur Web en saisissant la bonne URL et qu'aucune information d'authentification ne doit être présente pour visionner lesdites vidéos. Le bord a depuis obtenu la méthode pour diffuser des vidéos non cryptées à partir de caméras Eufy et dit qu'il était capable de diffuser des vidéos via l'application gratuite VLC sans aucune authentification appropriée.
The Verge a également déclaré qu'il n'était pas en mesure d'accéder à cette vidéo à moins que la caméra n'ait déjà été réveillée, généralement par un événement de détection de mouvement et un enregistrement ultérieur. Les caméras endormies ne peuvent pas être réveillées au hasard ou accessibles à distance à l'aide de cette méthode.
Moore montre la preuve que les vidéos des caméras Eufy qui sont cryptées avec le cryptage AES 128 ne le sont qu'avec une simple clé plutôt qu'avec une chaîne aléatoire appropriée. Dans l'exemple, les vidéos de Moore ont été stockées avec "ZXSecurity17Cam@" comme clé de cryptage, quelque chose qui serait facilement déchiffré par quiconque voulant vraiment vos images.
Toute personne possédant le numéro de série de votre appareil photo pourrait théoriquement pouvoir y accéder tant que l'appareil photo est activé.
À l'heure actuelle, il semble que l'adresse utilisée pour afficher le flux d'une caméra a maintenant été masquée dans l'application et le interface Web donc, à moins que quelqu'un ne rende cette adresse publique, il est peu probable que cet exploit soit utilisé dans la nature.
Si cette adresse devait être rendue publique, l'entrée ne nécessite que le numéro de série de votre appareil photo codé en Base64, selon l'enquête de The Verge. The Verge indique également que, même si l'adresse comprend un horodatage Unix qui doit être utilisé pour la vérification, Le système d'Eufy ne fait pas vraiment son travail et vérifiera tout ce qui est mis à sa place, y compris les bêtises mots.
Compte tenu de cette conception particulière, toute personne disposant du numéro de série de votre appareil photo pourrait théoriquement pouvoir y accéder tant que l'appareil photo est éveillé.
Les notifications de vignettes d'Eufy téléchargent des images sur le cloud. La solution simple consiste à désactiver les vignettes dans l'application Eufy.
Moore a été en contact avec le support Eufy et ils corroborent les preuves, citant que ces téléchargements se produisent pour aider avec les notifications et autres données. Le support ne semble pas avoir fourni de raison valable pour laquelle des données utilisateur identifiables sont également jointes à les vignettes, ce qui pourrait ouvrir une énorme faille de sécurité pour que d'autres puissent trouver vos données avec le droit outils.
Moore dit qu'Eufy a déjà corrigé certains des problèmes, rendant impossible la vérification de l'état des données stockées dans le cloud, et a publié la déclaration suivante :
"Malheureusement (ou heureusement, quelle que soit la façon dont vous le regardez), Eufy a déjà supprimé l'appel réseau et fortement chiffré les autres pour le rendre presque impossible à détecter; donc mes précédents PoC ne fonctionnent plus. Vous pourrez peut-être appeler manuellement le point de terminaison spécifique à l'aide des charges utiles affichées, qui peuvent toujours renvoyer un résultat."
Android Central est en discussion avec Eufy et Paul Moore et continuera de mettre à jour cet article à mesure que la situation évolue. À ce stade, il est prudent de dire que, si vous êtes préoccupé par votre vie privée - ce que vous devriez absolument être - cela n'a pas beaucoup de sens d'utiliser une caméra Eufy soit à l'intérieur ou à l'extérieur de votre domicile.
Eufy a publié cette déclaration mise à jour le 2 décembre :
"eufy Security est catégoriquement en désaccord avec les accusations portées contre l'entreprise concernant la sécurité de nos produits. Cependant, nous comprenons que les événements récents aient pu inquiéter certains utilisateurs. Nous examinons et testons fréquemment nos fonctionnalités de sécurité et encourageons les commentaires de l'ensemble du secteur de la sécurité pour nous assurer que nous corrigeons toutes les vulnérabilités de sécurité crédibles. Si une vulnérabilité crédible est identifiée, nous prenons les mesures nécessaires pour la corriger. De plus, nous nous conformons à tous les organismes de réglementation appropriés sur les marchés où nos produits sont vendus. Enfin, nous encourageons les utilisateurs à contacter notre équipe de support client dédiée pour toute question."
La première déclaration et l'explication d'Eufy sont ci-dessous. Au-delà de cela, nous avons également inclus la preuve de concept originale de Paul Moore sur le problème.
L'explication d'Eufy
Le 29 novembre, Eufy a déclaré à Android Central que ses "produits, services et processus sont en pleine conformité aux normes du Règlement général sur la protection des données (RGPD), y compris ISO 27701/27001 et ETSI 303645 certifications."
Par défaut, les notifications de caméra sont définies sur du texte uniquement et ne génèrent ni ne téléchargent aucune vignette d'aucune sorte. Dans le cas de M. Moore, il a activé l'option d'affichage des vignettes avec la notification. Voici à quoi cela ressemble dans l'application.
Eufy dit que ces vignettes sont temporairement téléchargées sur ses serveurs AWS, puis regroupées dans la notification sur l'appareil d'un utilisateur. Cette logique vérifie puisque les notifications sont gérées côté serveur et, normalement, une notification en texte seul des serveurs d'Eufy n'inclurait aucune sorte de données d'image, sauf indication contraire.
Eufy affirme que ses pratiques de notification push sont "conformes au service Apple Push Notification et Normes Firebase Cloud Messaging" et suppression automatique, mais n'a pas spécifié de délai dans lequel cela devrait se produire.
De plus, Eufy dit que "les vignettes utilisent un cryptage côté serveur" et ne doivent pas être visibles pour les utilisateurs qui ne sont pas connectés. La preuve de concept de M. Moore ci-dessous a utilisé la même session de navigateur Web incognito pour récupérer les vignettes, utilisant ainsi le même cache Web avec lequel il s'est précédemment authentifié.
Eufy déclare que "bien que notre application eufy Security permette aux utilisateurs de choisir entre des notifications push basées sur du texte ou sur des vignettes, il n'a pas été précisé que le choix des notifications basées sur des vignettes nécessiterait que les images d'aperçu soient brièvement hébergées dans le nuage. Ce manque de communication était un oubli de notre part et nous nous excusons sincèrement pour notre erreur."
Eufy dit qu'il apporte les changements suivants pour améliorer la communication à ce sujet :
- Nous révisons la langue de l'option de notifications push dans l'application eufy Security pour détailler clairement cela les notifications push avec vignettes nécessitent des images d'aperçu qui seront temporairement stockées dans le cloud.
- Nous serons plus clairs sur l'utilisation du cloud pour les notifications push dans nos supports marketing destinés aux consommateurs.
Eufy n'a pas encore répondu à plusieurs questions de suivi envoyées par Android Central concernant des problèmes supplémentaires trouvés dans la preuve de concept de Paul Moore ci-dessous. À l'heure actuelle, il semble que les méthodes de sécurité d'Eufy soient défectueuses et nécessiteront une réingénierie avant d'être corrigées.
La preuve de concept de Paul Moore
Eufy vend deux principaux types de caméras: les caméras qui se connectent directement au réseau Wi-Fi de votre domicile et les caméras qui se connectent uniquement à une Eufy HomeBase via une connexion sans fil locale.
Les Eufy HomeBase sont conçues pour stocker localement les images de la caméra Eufy via un disque dur à l'intérieur de l'unité. Mais, même si vous avez une HomeBase chez vous, l'achat d'une SoloCam ou d'une sonnette qui se connecte directement au Wi-Fi stockera vos données vidéo sur la caméra Eufy elle-même au lieu de la HomeBase.
Dans le cas de Paul Moore, il utilisait une Eufy Doorbell Dual qui se connecte directement au Wi-Fi et contourne une HomeBase. Voici sa première vidéo sur la question, publiée le 23 novembre 2022.
Dans la vidéo, Moore montre comment Eufy télécharge à la fois l'image capturée par la caméra et l'image de reconnaissance faciale. De plus, il montre que l'image de reconnaissance faciale est stockée avec plusieurs bits de métadonnées, dont deux qui incluent son nom d'utilisateur (owner_ID), un autre identifiant d'utilisateur et l'identifiant enregistré et stocké pour son visage (AI_Face_ID).
Ce qui aggrave les choses, c'est que Moore utilise une autre caméra pour déclencher un événement de mouvement, puis examine les données transférées aux serveurs d'Eufy dans le cloud AWS. Moore dit qu'il a utilisé un appareil photo différent, un nom d'utilisateur différent et même un HomeBase différent pour "stocker" les images localement, mais Eufy a pu marquer et lier l'identification faciale à sa photo.
Cela prouve qu'Eufy stocke ces données de reconnaissance faciale dans son cloud et, en plus, est permettant aux caméras d'identifier facilement les visages stockés même s'ils n'appartiennent pas aux personnes qui s'y trouvent images. Pour étayer cette affirmation, Moore a enregistré une autre vidéo de lui supprimant les clips et prouvant que les images sont toujours situées sur les serveurs AWS d'Eufy.
De plus, Moore dit qu'il a pu diffuser des images en direct de sa caméra de sonnette sans aucun l'authentification mais n'a pas fourni de preuve de concept publique en raison de l'utilisation abusive possible de la tactique si elle devait être rendue publique. Il a directement informé Eufy et a depuis pris des mesures légales pour s'assurer qu'Eufy se conforme.
Pour le moment, cela semble très mauvais pour Eufy. La société a, pendant des années, soutenu uniquement la conservation des données des utilisateurs en local et ne jamais les télécharger sur le cloud. Tandis qu'Eufy aussi dispose de services cloud, aucune donnée ne doit être téléchargée sur le cloud à moins qu'un utilisateur n'autorise spécifiquement une telle pratique.
De plus, stocker des identifiants d'utilisateur et d'autres données personnellement identifiables à côté d'une photo du visage d'une personne est en effet une violation massive de la sécurité. Alors qu'Eufy a depuis corrigé la possibilité de trouver facilement les URL et autres données envoyées vers le cloud, il y a actuellement aucun moyen de vérifier qu'Eufy continue ou non à stocker ces données dans le cloud sans utilisateur consentement.