Što trebaš znati
- Sigurnosni istraživač Paul Moore otkrio je nekoliko sigurnosnih propusta u Eufyjevim kamerama.
- Korisničke slike i podaci o prepoznavanju lica šalju se u oblak bez pristanka korisnika, a feedovima kamera uživo može se navodno pristupiti bez ikakve provjere autentičnosti.
- Moore kaže da su neki problemi otad zakrpani, ali ne može potvrditi da se podaci u oblaku ispravno brišu. Moore, stanovnik Ujedinjenog Kraljevstva, poduzeo je pravni postupak protiv Eufyja zbog mogućeg kršenja GDPR-a.
- Podrška za Eufy potvrdila je neke probleme i izdala službenu izjavu o tome u kojoj se kaže da će ažuriranje aplikacije ponuditi razjašnjen jezik.
Ažuriranje 29. studenog u 11:32: Dodan odgovor Paula Moorea na Android Central.
Ažuriranje 29. studenog u 15:30: Eufy je izdao izjavu u kojoj objašnjava što se događa, a koja se može vidjeti ispod u Eufyjevom odjeljku objašnjenja.
Ažuriranje 1. prosinca u 10:20: Dodane informacije The Verge je otkrio potvrđujući da se nešifriranim streamovima kamera može pristupiti putem softvera kao što je VLC.
Ažuriranje 2. prosinca u 9:08: Dodana najnovija izjava Eufyja.
Video snimkama s aktivnih Eufy kamera može se pristupiti putem video softvera kao što je VLC, čak i bez odgovarajuće provjere autentičnosti.
Godinama se Eufy Security ponosio svojom mantrom o zaštiti privatnosti korisnika, prvenstveno pohranjivanjem videozapisa i drugih relevantnih podataka samo lokalno. Ali istraživač sigurnosti dovodi to u pitanje, navodeći dokaze koji pokazuju da neke Eufy kamere jesu učitavanje fotografija, slika za prepoznavanje lica i drugih privatnih podataka na svoje poslužitelje u oblaku bez korisnika pristanak.
A serija tweetova od konzultanta za informacijsku sigurnost Paula Moorea čini se da pokazuje Eufy Doorbell Dual kameru koja prenosi podatke za prepoznavanje lica u Eufyjev AWS oblak bez enkripcije. Moore pokazuje da se ti podaci pohranjuju uz određeno korisničko ime i druge podatke koji se mogu identificirati. Dodajući tome, Moore kaže da se ti podaci čuvaju na Eufyjevim poslužiteljima baziranim na Amazonu čak i kada je snimka "izbrisana" iz Eufy aplikacije.
Nadalje, Moore tvrdi da se videozapisi s kamera mogu prenositi putem web-preglednika unosom pravog URL-a te da za gledanje spomenutih videozapisa ne moraju biti prisutni podaci za provjeru autentičnosti. The Verge od tada je dobio metodu za strujanje nešifriranih videozapisa s Eufy kamera i kaže da je mogao strujati video zapise putem besplatne VLC aplikacije bez ikakve odgovarajuće provjere autentičnosti.
Verge je također rekao da nije mogao pristupiti ovom videu osim ako se kamera već nije probudila, obično događajem detekcije pokreta i kasnijim snimanjem. Kamere za spavanje ne mogu se nasumično probuditi ili im se daljinski pristupa ovom metodom.
Moore pokazuje dokaze da se videozapisi s kamera Eufy koji su šifrirani enkripcijom AES 128 rade samo jednostavnim ključem, a ne ispravnim nasumičnim nizom. U primjeru, Mooreovi video zapisi pohranjeni su sa "ZXSecurity17Cam@" kao ključem za šifriranje, nečim što bi lako provalio svatko tko stvarno želi vaše snimke.
Svatko sa serijskim brojem vaše kamere bi teoretski mogao dobiti pristup sve dok je kamera budna.
Trenutno se čini da je adresa korištena za gledanje streama kamere sada skrivena od aplikacije i web sučelje pa, osim ako netko ne objavi tu adresu, nije vjerojatno da će se ovaj exploit koristiti u divljini.
Ako ta adresa bude javna, za dobivanje ulaza potreban je samo serijski broj vaše kamere kodiran u Base64, prema istraživanju The Vergea. The Verge također kaže da, iako adresa uključuje Unix vremensku oznaku koja bi se trebala koristiti za provjeru, Eufyjev sustav zapravo ne radi svoj posao i provjerit će sve što se stavi na njegovo mjesto, uključujući i besmislice riječi.
S obzirom na ovaj poseban dizajn, svatko sa serijskim brojem vaše kamere bi teoretski mogao dobiti pristup sve dok je kamera budna.
Eufyjeve minijaturne obavijesti učitavaju slike u oblak. Jednostavno rješenje je onemogućiti minijature u aplikaciji Eufy.
Moore je bio u kontaktu s podrškom za Eufy i oni potvrđuju dokaze, navodeći da se ova učitavanja događaju kako bi pomogla s obavijestima i drugim podacima. Čini se da podrška nije pružila valjan razlog zašto su priloženi i identifikacijski podaci korisnika sličice, što bi moglo otvoriti veliku sigurnosnu rupu za druge kako bi pronašli vaše podatke s pravom alata.
Moore kaže da je Eufy već zakrpao neke od problema, zbog čega je nemoguće provjeriti status pohranjenih podataka u oblaku, te je izdao sljedeću izjavu:
"Nažalost (ili nasreću, kako god gledali na to), Eufy je već uklonio mrežni poziv i snažno kriptirao druge kako bi ga gotovo nemoguće otkriti; tako da moji prethodni PoC-ovi više ne rade. Možda ćete moći ručno pozvati određenu krajnju točku pomoću prikazanih korisnih podataka, koji ipak mogu vratiti rezultat."
Android Central raspravlja s Eufyjem i Paulom Mooreom i nastavit će ažurirati ovaj članak kako se situacija bude razvijala. U ovom trenutku, sa sigurnošću se može reći da, ako ste zabrinuti za svoju privatnost — što biste apsolutno trebali biti — nema previše smisla koristiti Eufy kameru bilo unutra ili izvan svog doma.
Eufy je 2. prosinca izdao ovu ažuriranu izjavu:
"eufy Security kategorički se ne slaže s optužbama koje se protiv tvrtke odnose na sigurnost naših proizvoda. Međutim, razumijemo da su nedavni događaji mogli izazvati zabrinutost kod nekih korisnika. Često pregledavamo i testiramo naše sigurnosne značajke i potičemo povratne informacije od šire sigurnosne industrije kako bismo osigurali da rješavamo sve vjerodostojne sigurnosne propuste. Ako se identificira vjerodostojna ranjivost, poduzimamo potrebne radnje da je ispravimo. Osim toga, pridržavamo se svih odgovarajućih regulatornih tijela na tržištima na kojima se prodaju naši proizvodi. Na kraju, potičemo korisnike da se s pitanjima obrate našem posvećenom timu za korisničku podršku."
Eufyjeva prva izjava i objašnjenje nalaze se u nastavku. Osim toga, također smo uključili izvorni dokaz Paula Moorea o konceptu problema.
Eufyjevo objašnjenje
29. studenog Eufy je za Android Central rekao da su njegovi "proizvodi, usluge i procesi u potpunosti usklađeni sa standardima Opće uredbe o zaštiti podataka (GDPR), uključujući ISO 27701/27001 i ETSI 303645 potvrde."
Prema zadanim postavkama, obavijesti kamere postavljene su samo na tekst i ne generiraju niti učitavaju sličice bilo koje vrste. U slučaju gospodina Moorea, omogućio je opciju prikaza sličica uz obavijest. Evo kako to izgleda u aplikaciji.
Eufy kaže da se ove sličice privremeno učitavaju na njegove AWS poslužitelje, a zatim spajaju u obavijest na korisnikov uređaj. Ova se logika provjerava budući da se obavijestima rukuje na strani poslužitelja i, obično, samo tekstualna obavijest s Eufyjevih poslužitelja ne bi uključivala nikakvu vrstu slikovnih podataka osim ako nije drugačije navedeno.
Eufy kaže da su njegove prakse push obavijesti "u skladu s Apple Push Notification uslugom i Standardi Firebase Cloud Messaging" i automatsko brisanje, ali nije naveden vremenski okvir u kojem bi to trebalo pojaviti se.
Štoviše, Eufy kaže da "sličice koriste enkripciju na strani poslužitelja" i ne bi trebale biti vidljive korisnicima koji nisu prijavljeni. Donji dokaz koncepta g. Moorea koristio je istu anonimnu sesiju web-preglednika za dohvaćanje sličica, koristeći pritom istu web-predmemoriju s kojom se prethodno autentificirao.
Eufy kaže da "iako naša aplikacija eufy Security omogućuje korisnicima odabir između tekstualnih i sličica utemeljenih push obavijesti, nije jasno navedeno da bi odabir obavijesti temeljenih na minijaturama zahtijevao da slike pregleda budu nakratko smještene u oblak. Taj nedostatak komunikacije bio je propust s naše strane i iskreno se ispričavamo zbog svoje pogreške."
Eufy kaže da radi sljedeće promjene kako bi poboljšao komunikaciju po ovom pitanju:
- Revidiramo jezik opcije push obavijesti u aplikaciji Sigurnost eufy kako bismo to jasno opisali push obavijesti sa sličicama zahtijevaju slike za pregled koje će biti privremeno pohranjene u oblaku.
- Bit ćemo jasniji u vezi s upotrebom oblaka za push obavijesti u našim marketinškim materijalima za potrošače.
Eufy tek treba odgovoriti na nekoliko dodatnih pitanja koje je Android Central poslao u kojima se postavlja pitanje o dodatnim problemima koji se nalaze u dokazu koncepta Paula Moorea u nastavku. Čini se da su sigurnosne metode Eufyja u ovom trenutku pogrešne i trebat će reinženjering prije nego što se poprave.
Paul Mooreov dokaz koncepta
Eufy prodaje dvije glavne vrste kamera: kamere koje se spajaju izravno na Wi-Fi mrežu vašeg doma i kamere koje se spajaju samo na Eufy HomeBase putem lokalne bežične veze.
Eufy HomeBase dizajnirani su za lokalno pohranjivanje snimaka Eufy kamere putem tvrdog diska unutar jedinice. No, čak i ako imate HomeBase u svom domu, kupnjom SoloCam ili Doorbell koji se povezuje izravno na Wi-Fi pohranit će vaše videopodatke na samoj Eufy kameri umjesto na HomeBase.
U slučaju Paula Moorea, on je koristio Eufy Doorbell Dual koji se spaja izravno na Wi-Fi i zaobilazi HomeBase. Evo njegovog prvog videa o tom problemu, objavljenog 23. studenog 2022.
U videu Moore pokazuje kako Eufy učitava i sliku snimljenu kamerom i sliku prepoznavanja lica. Nadalje, pokazuje da je slika prepoznavanja lica pohranjena uz nekoliko bitova metapodataka, dva od koji uključuju njegovo korisničko ime (owner_ID), drugi korisnički ID te spremljeni i pohranjeni ID za njegovo lice (AI_Face_ID).
Ono što čini stvari još gorim je to što Moore koristi drugu kameru da pokrene događaj kretanja, a zatim ispituje podatke prenesene na Eufyjeve poslužitelje u AWS oblaku. Moore kaže da je koristio drugu kameru, drugačije korisničko ime, pa čak i drugu HomeBase kako bi "pohranio" snimke lokalno, no Eufy je ipak uspio označiti i povezati identifikaciju lica sa svojom slikom.
To dokazuje da Eufy pohranjuje podatke o prepoznavanju lica u svoj oblak i povrh toga, omogućujući kamerama da lako identificiraju pohranjena lica iako nisu u vlasništvu ljudi u tim slike. Kako bi potkrijepio tu tvrdnju, Moore je snimio još jedan video kako briše isječke i dokazuje da se slike još uvijek nalaze na Eufyjevim AWS poslužiteljima.
Osim toga, Moore kaže da je mogao uživo prenositi snimke sa svoje kamere zvona bez ikakvih ikakvih autentifikaciju, ali nije pružio javni dokaz koncepta zbog moguće zlouporabe taktike ako bi objaviti. Izravno je obavijestio Eufy i od tada je poduzeo zakonske mjere kako bi osigurao da Eufy poštuje zahtjeve.
U ovom trenutku ovo izgleda jako loše za Eufyja. Tvrtka je godinama stajala samo iza toga da su korisnički podaci lokalni i da se nikada ne učitavaju u oblak. Dok je Eufy također ima usluge u oblaku, nikakvi podaci ne bi se trebali učitavati u oblak osim ako korisnik izričito ne dopusti takvu praksu.
Nadalje, pohranjivanje korisničkih ID-ova i drugih osobnih podataka uz sliku nečijeg lica doista je veliko kršenje sigurnosti. Iako je Eufy od tada zakrpao mogućnost jednostavnog pronalaženja URL-ova i drugih podataka koji se šalju u oblak, postoji trenutačno nema načina da se potvrdi da Eufy nastavlja ili ne nastavlja pohranjivati ove podatke u oblaku bez korisnika pristanak.