Amit tudnod kell
- Paul Moore biztonsági kutató több biztonsági hibát is felfedezett az Eufy kameráiban.
- A felhasználói képeket és arcfelismerő adatokat a felhasználó beleegyezése nélkül küldik a felhőbe, és állítólag minden hitelesítés nélkül is elérhetők az élő kamera feedek.
- Moore szerint a problémák egy részét azóta javították, de nem tudja ellenőrizni, hogy a felhőadatok megfelelően törlődnek-e. Az Egyesült Királyságban élő Moore jogi lépéseket tett az Eufy ellen a GDPR esetleges megsértése miatt.
- Az Eufy ügyfélszolgálata megerősített néhány problémát, és hivatalos közleményt adott ki az ügyben, miszerint az alkalmazásfrissítés tisztázott nyelvezetet kínál majd.
Frissítés november 29., 11:32: Paul Moore válasza hozzáadva az Android Centralhoz.
Frissítés: november 29., 15:30: Az Eufy közleményt adott ki, amelyben elmagyarázza, hogy mi történik, amely az Eufy magyarázata alatt látható.
Frissítés december 1., 10:20: Hozzáadott információk A Verge feltárta, megerősítve, hogy a titkosítatlan kamerafolyamokhoz olyan szoftvereken keresztül is hozzá lehet férni, mint a VLC.
Frissítés december 2., 9:08: Hozzáadva az Eufy legújabb nyilatkozatát.
Az aktív Eufy kamerákból származó videofelvételek megfelelő hitelesítés nélkül is elérhetők videoszoftverekkel, például VLC-vel.
Az Eufy Security évek óta büszke arra a mantrájára, hogy megvédi a felhasználók adatait, elsősorban azzal, hogy csak a videókat és más releváns adatokat helyben tárolja. Egy biztonsági kutató azonban megkérdőjelezi ezt, olyan bizonyítékokra hivatkozva, amelyek azt mutatják, hogy egyes Eufy kamerák azok fényképek, arcfelismerő képek és egyéb privát adatok feltöltése felhőszervereire felhasználó nélkül beleegyezés.
A Tweetek sorozata Paul Moore információbiztonsági tanácsadótól úgy tűnik, hogy egy Eufy Doorbell Dual kamera titkosítás nélkül tölt fel arcfelismerő adatokat az Eufy AWS felhőjébe. Moore megmutatja, hogy ezeket az adatokat egy adott felhasználónévvel és más azonosítható információkkal együtt tárolják. Moore hozzátéve, hogy ezeket az adatokat az Eufy Amazon-alapú szerverein tárolják még akkor is, ha a felvételt „törölték” az Eufy alkalmazásból.
Továbbá Moore azt állítja, hogy a kamerákról készült videókat egy webböngészőn keresztül lehet streamelni a megfelelő URL megadásával, és az említett videók megtekintéséhez nincs szükség hitelesítési információra. A perem azóta megszerezte a módszert titkosítatlan videók streamelésére az Eufy kamerákról, és azt állítja, hogy megfelelő hitelesítés nélkül is képes volt videókat streamelni az ingyenes VLC alkalmazáson keresztül.
A The Verge azt is közölte, hogy csak akkor tud hozzáférni ehhez a videóhoz, ha a kamerát már felébresztették, általában egy mozgásérzékelési esemény és az azt követő felvétel miatt. Az alvó kamerákat ezzel a módszerrel nem lehet véletlenszerűen felébreszteni vagy távolról elérni.
Moore bizonyítékot mutat arra, hogy az Eufy kamerákról származó, AES 128 titkosítással titkosított videók csak egy egyszerű kulccsal készülnek, nem pedig megfelelő véletlenszerű karakterlánccal. A példában Moore videóit a „ZXSecurity17Cam@” titkosítási kulccsal tárolták, amit bárki könnyen feltörhet, aki igazán szeretné az Ön felvételét.
Bárki, aki ismeri a fényképezőgép sorozatszámát, elméletileg hozzáférhet mindaddig, amíg a kamera ébren van.
Jelenleg úgy tűnik, hogy a kamera adatfolyamának megtekintéséhez használt címet elrejtették az alkalmazás és a webes felület, így ha valaki nem teszi nyilvánossá ezt a címet, nem valószínű, hogy ezt az exploitot a természetben fogják használni.
Ha ezt a címet nyilvánosságra hoznák, a belépéshez csak a fényképezőgép Base64-be kódolt sorozatszámára van szükség, a The Verge vizsgálata szerint. A Verge azt is mondja, hogy bár a cím Unix időbélyeget tartalmaz, amelyet az ellenőrzéshez kell használni, Az Eufy rendszere valójában nem végzi el a feladatát, és mindent ellenőrizni fog, ami a helyére került, beleértve a hülyeségeket is. szavak.
Ennek a különleges kialakításnak köszönhetően elméletileg bárki hozzáférhet a fényképezőgép sorozatszámával, amíg a kamera ébren van.
Az Eufy miniatűr értesítései képeket töltenek fel a felhőbe. Az egyszerű megoldás az, hogy letiltja a bélyegképeket az Eufy alkalmazásban.
Moore felvette a kapcsolatot az Eufy ügyfélszolgálatával, és megerősítik a bizonyítékot, arra hivatkozva, hogy ezek a feltöltések az értesítések és egyéb adatok segítésére szolgálnak. Úgy tűnik, hogy a támogatás nem adott érvényes okot arra, hogy miért is kapcsolódnak azonosítható felhasználói adatok a miniatűrök, amelyek hatalmas biztonsági rést nyithatnak mások előtt, hogy megfelelő módon találják meg az Ön adatait eszközöket.
Moore azt mondja, hogy az Eufy már javított néhány problémát, ami lehetetlenné tette a tárolt felhőadatok állapotának ellenőrzését, és kiadta a következő nyilatkozatot:
"Sajnos (vagy szerencsére, akárhogyan is nézzük), az Eufy már eltávolította a hálózati hívást, és erősen titkosított másokat, hogy szinte lehetetlenné tegye az észlelést; így a korábbi PoC-jaim már nem működnek. Előfordulhat, hogy manuálisan hívhatja meg az adott végpontot a megjelenített hasznos terhelések használatával, ami továbbra is eredményt adhat."
Az Android Central tárgyalásokat folytat Eufyval és Paul Moore-ral, és a helyzet alakulásával folyamatosan frissíti ezt a cikket. Ezen a ponton nyugodtan kijelenthetjük, hogy ha aggódik a magánélete miatt – aminek feltétlenül így kell lennie –, nincs sok értelme Eufy kamerát használni. akár belül vagy az otthonán kívül.
Az Eufy december 2-án adta ki ezt a frissített nyilatkozatot:
"Az eufy Security határozottan nem ért egyet a cég ellen termékeink biztonságával kapcsolatos vádakkal. Megértjük azonban, hogy a közelmúlt eseményei aggodalmat keltettek egyes felhasználókban. Gyakran felülvizsgáljuk és teszteljük biztonsági funkcióinkat, és ösztönözzük a szélesebb körű biztonsági ágazat visszajelzéseit, hogy minden hiteles biztonsági rést kiküszöböljünk. Ha hiteles sebezhetőséget észlelünk, megtesszük a szükséges lépéseket annak kijavítására. Ezenkívül megfelelünk az összes megfelelő szabályozó testületnek azokon a piacokon, ahol termékeinket értékesítik. Végül arra biztatjuk a felhasználókat, hogy kérdésükkel forduljanak ügyfélszolgálati csapatunkhoz."
Eufy első kijelentése és magyarázata alább olvasható. Ezen túlmenően Paul Moore eredeti bizonyítékát is mellékeltük a probléma koncepciójára.
Eufy magyarázata
November 29-én az Eufy azt mondta az Android Centralnak, hogy „termékei, szolgáltatásai és folyamatai teljes mértékben megfelelnek az előírásoknak általános adatvédelmi rendelet (GDPR) szabványokkal, beleértve az ISO 27701/27001 és ETSI 303645 szabványokat bizonyítványok."
Alapértelmezés szerint a kamera értesítései csak szövegesek, és nem generálnak vagy töltenek fel indexképet. Mr. Moore esetében engedélyezte a bélyegképek megjelenítését az értesítés mellett. Így néz ki az alkalmazásban.
Az Eufy azt mondja, hogy ezeket a bélyegképeket ideiglenesen feltölti az AWS-szervereire, majd a felhasználó eszközére küldött értesítésbe csomagolja. Ez a logika ellenőrizhető, mivel az értesítéseket a szerver oldalon kezelik, és általában az Eufy szervereitől érkező, csak szöveges értesítések nem tartalmaznak semmilyen képadatokat, hacsak nincs másképp megadva.
Az Eufy azt mondja, hogy push értesítési gyakorlata „megfelel az Apple Push Notification szolgáltatásnak és Firebase Cloud Messaging szabványok" és az automatikus törlés, de nem határoztak meg időkeretet, amelyen belül előfordul.
Ezenkívül az Eufy azt mondja, hogy "a bélyegképek szerveroldali titkosítást használnak", és nem láthatók azok számára, akik nincsenek bejelentkezve. Mr. Moore alább bemutatott koncepciója ugyanazt az inkognitó webböngésző munkamenetet használta a bélyegképek lekérésére, így ugyanazt a webes gyorsítótárat használta, amellyel korábban hitelesített.
Az Eufy szerint "bár az eufy Security alkalmazásunk lehetővé teszi a felhasználók számára, hogy válasszanak a szöveges vagy a miniatűr alapú push értesítések között, nem tették világossá, hogy a miniatűr alapú értesítések kiválasztása esetén az előnézeti képeket rövid időre a felhő. A kommunikáció hiánya mulasztás volt részünkről, és őszintén elnézést kérünk a hibánkért."
Az Eufy azt mondja, hogy a következő változtatásokat hajtja végre a kommunikáció javítása érdekében:
- Felülvizsgáljuk a push értesítések nyelvét az eufy Security alkalmazásban, hogy ezt egyértelműen részletezzük a miniatűrökkel ellátott push értesítésekhez előnézeti képek szükségesek, amelyeket ideiglenesen a felhőben tárolunk.
- A fogyasztóknak szóló marketinganyagainkban egyértelműbb lesz a felhő push értesítésekhez való használata.
Az Eufy még nem válaszolt számos további kérdésre, amelyet az Android Central küldött, és további problémákkal kapcsolatban Paul Moore koncepciójának alábbi bizonyítékában található. Jelenleg úgy tűnik, hogy az Eufy biztonsági módszerei hibásak, és a javításuk előtt újratervezni kell őket.
Paul Moore elméleti bizonyítéka
Az Eufy két fő típusú kamerát árul: olyan kamerákat, amelyek közvetlenül csatlakoznak otthoni Wi-Fi hálózathoz, és olyan kamerákat, amelyek csak helyi vezeték nélküli kapcsolaton keresztül csatlakoznak az Eufy HomeBase-hez.
Az Eufy HomeBase-eket úgy tervezték, hogy az Eufy kamerás felvételeit helyben tárolják a készülék belsejében lévő merevlemezen keresztül. De még akkor is, ha otthonában van HomeBase, a közvetlenül Wi-Fi-hez csatlakozó SoloCam vagy Doorbell megvásárlásakor a videoadatokat magán az Eufy kamerán tárolja a HomeBase helyett.
Paul Moore esetében egy Eufy Doorbell Dual-t használt, amely közvetlenül csatlakozik a Wi-Fi-hez, és megkerüli a HomeBase-t. Íme az első videója a témában, amelyet 2022. november 23-án tettek közzé.
A videóban Moore bemutatja, hogyan tölti fel Eufy a kamerával rögzített képet és az arcfelismerő képet is. Továbbá megmutatja, hogy az arcfelismerő kép több bit metaadat mellett van tárolva, ezek közül kettő amelyek tartalmazzák a felhasználónevét (owner_ID), egy másik felhasználói azonosítót, valamint az arcához tartozó mentett és tárolt azonosítót (AI_Face_ID).
A helyzetet rontja, hogy Moore egy másik kamerát használ a mozgási esemény kiváltására, majd megvizsgálja az Eufy szervereire továbbított adatokat az AWS felhőben. Moore azt mondja, hogy más kamerát, más felhasználónevet és még egy másik HomeBase-t is használt a felvétel helyben történő "tárolásához", Eufy mégis képes volt megcímkézni és összekapcsolni az arcazonosítót a képével.
Ez bizonyítja, hogy az Eufy ezeket az arcfelismerő adatokat a felhőjében tárolja, és ráadásul az is lehetővé teszi a kamerák számára, hogy könnyen azonosítsák a tárolt arcokat, még akkor is, ha azok nem a személyek tulajdonában vannak képeket. Ezt az állítást alátámasztandó, Moore egy újabb videót rögzített, amelyen törölte a klipeket, és bebizonyította, hogy a képek még mindig az Eufy AWS szerverein vannak.
Ezenkívül Moore azt mondja, hogy minden nélkül képes volt élő felvételeket közvetíteni az ajtócsengő kamerájából hitelesítést, de nem szolgáltatott nyilvános bizonyítékot a koncepcióról a taktikával való esetleges visszaélés miatt nyilvánosságra kerüljön. Közvetlenül értesítette az Eufyt, és azóta jogi lépéseket tett annak biztosítására, hogy az Eufy megfeleljen.
Jelenleg ez nagyon rossznak tűnik Eufy számára. A vállalat évek óta kitart amellett, hogy a felhasználói adatokat helyi szinten tartsa, és soha ne töltse fel a felhőbe. Míg Eufy is felhőszolgáltatásokkal rendelkezik, nem szabad adatokat feltölteni a felhőbe, kivéve, ha a felhasználó kifejezetten engedélyezi ezt a gyakorlatot.
Ezenkívül a felhasználói azonosítók és más személyazonosításra alkalmas adatok tárolása egy személy arcképével együtt súlyos biztonsági megsértést jelent. Míg az Eufy azóta javította a felhőbe küldött URL-ek és egyéb adatok egyszerű megtalálásának lehetőségét, jelenleg nincs mód annak ellenőrzésére, hogy az Eufy továbbra is tárolja-e ezeket az adatokat a felhőben felhasználó nélkül beleegyezés.