Apa yang perlu Anda ketahui
- Peneliti keamanan Paul Moore telah menemukan beberapa kelemahan keamanan di kamera Eufy.
- Gambar pengguna dan data pengenalan wajah dikirim ke cloud tanpa persetujuan pengguna, dan umpan kamera langsung konon dapat diakses tanpa autentikasi apa pun.
- Moore mengatakan beberapa masalah telah ditambal tetapi tidak dapat memverifikasi bahwa data cloud telah dihapus dengan benar. Moore, seorang warga Inggris, telah mengambil tindakan hukum terhadap Eufy karena kemungkinan pelanggaran GDPR.
- Dukungan Eufy telah mengkonfirmasi beberapa masalah dan mengeluarkan pernyataan resmi tentang masalah tersebut yang mengatakan pembaruan aplikasi akan menawarkan bahasa yang diklarifikasi.
Perbarui 29 November, 11:32: Menambahkan respons Paul Moore ke Android Central.
Perbarui 29 November, 15:30: Eufy mengeluarkan pernyataan yang menjelaskan apa yang terjadi yang dapat dilihat di bawah di bagian penjelasan Eufy.
Perbarui 1 Des, 10:20: Informasi tambahan The Verge mengungkapkan bahwa aliran kamera yang tidak terenkripsi dapat diakses melalui perangkat lunak seperti VLC.
Perbarui 2 Des, 9:08 pagi: Ditambahkan pernyataan terbaru dari Eufy.
Rekaman video dari kamera Eufy yang aktif dapat diakses melalui perangkat lunak video seperti VLC, bahkan tanpa autentikasi yang tepat.
Selama bertahun-tahun, Eufy Security membanggakan mantranya untuk melindungi privasi pengguna, terutama dengan hanya menyimpan video dan data relevan lainnya secara lokal. Tetapi seorang peneliti keamanan mempertanyakan hal ini, mengutip bukti yang menunjukkan beberapa kamera Eufy mengunggah foto, citra pengenal wajah, dan data pribadi lainnya ke server awannya tanpa pengguna izin.
A serangkaian Tweet dari konsultan keamanan informasi Paul Moore tampaknya menunjukkan kamera Ganda Eufy Bel yang mengunggah data pengenalan wajah ke cloud AWS Eufy tanpa enkripsi. Moore menunjukkan bahwa data ini disimpan di samping nama pengguna tertentu dan informasi lain yang dapat diidentifikasi. Selain itu, Moore mengatakan bahwa data ini disimpan di server berbasis Amazon Eufy bahkan ketika rekaman telah "dihapus" dari aplikasi Eufy.
Lebih lanjut, Moore menuduh bahwa video dari kamera dapat dialirkan melalui browser web dengan memasukkan URL yang benar dan tidak ada informasi otentikasi yang diperlukan untuk melihat video tersebut. Ambang sejak memperoleh metode untuk streaming video tidak terenkripsi dari kamera Eufy dan mengatakan dapat melakukan streaming video melalui aplikasi VLC gratis tanpa otentikasi yang tepat.
The Verge juga mengatakan bahwa itu tidak dapat mengakses video ini kecuali kameranya sudah dibangunkan, biasanya oleh peristiwa deteksi gerakan dan perekaman selanjutnya. Kamera tidur tidak dapat dibangunkan secara acak atau diakses dari jarak jauh menggunakan metode ini.
Moore menunjukkan bukti bahwa video dari kamera Eufy yang dienkripsi dengan enkripsi AES 128 hanya dilakukan dengan kunci sederhana daripada string acak yang tepat. Dalam contoh, video Moore disimpan dengan "ZXSecurity17Cam@" sebagai kunci enkripsi, sesuatu yang akan mudah diretas oleh siapa pun yang benar-benar menginginkan rekaman Anda.
Siapa pun yang memiliki nomor seri kamera Anda secara teoritis dapat memperoleh akses selama kamera dalam keadaan aktif.
Saat ini, tampaknya alamat yang digunakan untuk melihat streaming kamera kini telah disembunyikan dari aplikasi dan antarmuka web jadi, kecuali seseorang membuat alamat itu menjadi publik, kemungkinan eksploit ini tidak akan digunakan di alam liar.
Jika alamat itu dipublikasikan, untuk masuk hanya memerlukan nomor seri kamera Anda yang dikodekan di Base64, sesuai investigasi The Verge. The Verge juga mengatakan bahwa, meskipun alamatnya menyertakan stempel waktu Unix yang harus digunakan untuk verifikasi, Sistem Eufy sebenarnya tidak melakukan tugasnya dan akan memverifikasi apa pun yang ditempatkan pada tempatnya, termasuk omong kosong kata-kata.
Dengan desain khusus ini, siapa pun yang memiliki nomor seri kamera Anda secara teoritis dapat memperoleh akses selama kamera dalam keadaan aktif.
Notifikasi thumbnail Eufy sedang mengunggah gambar ke cloud. Perbaikan sederhana adalah menonaktifkan thumbnail di aplikasi Eufy.
Moore telah menghubungi dukungan Eufy dan mereka menguatkan bukti, mengutip bahwa unggahan ini dilakukan untuk membantu pemberitahuan dan data lainnya. Dukungan tampaknya tidak memberikan alasan yang valid mengapa data pengguna yang dapat diidentifikasi juga dilampirkan thumbnail, yang dapat membuka lubang keamanan yang sangat besar bagi orang lain untuk menemukan data Anda dengan benar peralatan.
Moore mengatakan bahwa Eufy telah menambal beberapa masalah, membuatnya tidak mungkin untuk memverifikasi status data cloud yang tersimpan, dan telah mengeluarkan pernyataan berikut:
"Sayangnya (atau untungnya, bagaimanapun Anda melihatnya), Eufy telah menghapus panggilan jaringan dan orang lain yang sangat terenkripsi untuk membuatnya hampir mustahil untuk dideteksi; jadi PoC saya sebelumnya tidak berfungsi lagi. Anda mungkin dapat memanggil titik akhir tertentu secara manual menggunakan payload yang ditampilkan, yang mungkin masih memberikan hasil."
Android Central sedang berdiskusi dengan Eufy dan Paul Moore dan akan terus memperbarui artikel ini seiring berkembangnya situasi. Pada titik ini, aman untuk mengatakan bahwa, jika Anda mengkhawatirkan privasi Anda — yang memang seharusnya demikian — tidak masuk akal untuk menggunakan kamera Eufy baik di dalam atau di luar rumah Anda.
Eufy mengeluarkan pernyataan terbaru ini pada 2 Desember:
"eufy Security dengan tegas tidak setuju dengan tuduhan yang dikenakan terhadap perusahaan terkait keamanan produk kami. Namun, kami memahami bahwa peristiwa baru-baru ini mungkin menimbulkan kekhawatiran bagi sebagian pengguna. Kami sering meninjau dan menguji fitur keamanan kami dan mendorong umpan balik dari industri keamanan yang lebih luas untuk memastikan kami mengatasi semua kerentanan keamanan yang kredibel. Jika kerentanan yang kredibel teridentifikasi, kami mengambil tindakan yang diperlukan untuk memperbaikinya. Selain itu, kami mematuhi semua badan pengatur yang sesuai di pasar tempat produk kami dijual. Terakhir, kami mendorong pengguna untuk menghubungi tim dukungan pelanggan khusus kami jika ada pertanyaan."
Pernyataan dan penjelasan pertama Eufy ada di bawah ini. Di luar itu, kami juga menyertakan bukti asli dari konsep masalah Paul Moore.
Penjelasan Eufi
Pada 29 November, Eufy memberi tahu Android Central bahwa "produk, layanan, dan prosesnya sepenuhnya sesuai dengan standar Regulasi Perlindungan Data Umum (GDPR), termasuk ISO 27701/27001 dan ETSI 303645 sertifikasi."
Secara default, notifikasi kamera diatur ke teks saja dan tidak membuat atau mengunggah thumbnail apa pun. Dalam kasus Tn. Moore, dia mengaktifkan opsi untuk menampilkan thumbnail bersama dengan notifikasi. Inilah tampilannya di aplikasi.
Eufy mengatakan bahwa thumbnail ini diunggah sementara ke server AWS-nya dan kemudian digabungkan ke dalam notifikasi ke perangkat pengguna. Logika ini memeriksa karena notifikasi ditangani sisi server dan, biasanya, notifikasi hanya teks dari server Eufy tidak akan menyertakan data gambar apa pun kecuali ditentukan lain.
Eufy mengatakan bahwa praktik pemberitahuan push-nya "sesuai dengan layanan Pemberitahuan Push Apple dan Standar Firebase Cloud Messaging" dan hapus otomatis tetapi tidak menentukan jangka waktu yang seharusnya terjadi.
Selain itu, Eufy mengatakan bahwa "thumbnail menggunakan enkripsi sisi server" dan seharusnya tidak terlihat oleh pengguna yang tidak masuk. Bukti konsep Tn. Moore di bawah ini menggunakan sesi browser web penyamaran yang sama untuk mengambil thumbnail, sehingga menggunakan cache web yang sama dengan yang dia autentikasi sebelumnya.
Eufy mengatakan bahwa "meskipun aplikasi Eufy Security kami memungkinkan pengguna untuk memilih antara pemberitahuan push berbasis teks atau berbasis thumbnail, tidak dijelaskan bahwa memilih notifikasi berbasis thumbnail akan memerlukan gambar pratinjau untuk dihosting secara singkat di awan. Kurangnya komunikasi itu adalah kesalahan kami dan kami dengan tulus meminta maaf atas kesalahan kami."
Eufy mengatakan sedang membuat perubahan berikut untuk meningkatkan komunikasi tentang masalah ini:
- Kami sedang merevisi bahasa opsi pemberitahuan push di aplikasi Eufy Security untuk merincinya dengan jelas pemberitahuan push dengan thumbnail memerlukan gambar pratinjau yang akan disimpan sementara di cloud.
- Kami akan lebih jelas tentang penggunaan cloud untuk pemberitahuan push dalam materi pemasaran kami yang berhubungan dengan konsumen.
Eufy belum menanggapi beberapa pertanyaan lanjutan yang dikirim Android Central menanyakan tentang masalah tambahan yang ditemukan dalam bukti konsep Paul Moore di bawah ini. Saat ini, tampaknya metode keamanan Eufy cacat dan akan membutuhkan rekayasa ulang sebelum diperbaiki.
Bukti konsep Paul Moore
Eufy menjual dua jenis kamera utama: kamera yang terhubung langsung ke jaringan Wi-Fi rumah Anda, dan kamera yang hanya terhubung ke Eufy HomeBase melalui koneksi nirkabel lokal.
Eufy HomeBase dirancang untuk menyimpan rekaman kamera Eufy secara lokal melalui hard drive di dalam unit. Namun, meskipun Anda memiliki HomeBase di rumah, membeli SoloCam atau Bel Pintu yang terhubung langsung ke Wi-Fi akan menyimpan data video Anda di kamera Eufy itu sendiri, bukan di HomeBase.
Dalam kasus Paul Moore, dia menggunakan Eufy Doorbell Dual yang terhubung langsung ke Wi-Fi dan melewati HomeBase. Ini video pertamanya tentang masalah ini, diterbitkan pada 23 November 2022.
Dalam video tersebut, Moore menunjukkan bagaimana Eufy mengunggah gambar yang diambil dari kamera dan gambar pengenal wajah. Selanjutnya, ia menunjukkan bahwa gambar pengenal wajah disimpan bersama beberapa bit metadata, dua di antaranya yang menyertakan nama penggunanya (owner_ID), ID pengguna lain, dan ID yang disimpan dan disimpan untuk wajahnya (AI_Face_ID).
Yang memperburuk keadaan adalah Moore menggunakan kamera lain untuk memicu peristiwa gerakan, lalu memeriksa data yang ditransfer ke server Eufy di AWS cloud. Moore mengatakan bahwa dia menggunakan kamera yang berbeda, nama pengguna yang berbeda, dan bahkan HomeBase yang berbeda untuk "menyimpan" rekaman secara lokal, namun Eufy dapat menandai dan menautkan ID wajah ke fotonya.
Itu membuktikan bahwa Eufy menyimpan data pengenalan wajah ini di cloud-nya dan, di atas itu, memang begitu memungkinkan kamera untuk dengan mudah mengidentifikasi wajah yang disimpan meskipun tidak dimiliki oleh orang-orang di dalamnya gambar-gambar. Untuk mendukung klaim itu, Moore merekam video lain tentang dia menghapus klip dan membuktikan bahwa gambar tersebut masih berada di server AWS Eufy.
Selain itu, Moore mengatakan bahwa dia dapat melakukan streaming rekaman langsung dari kamera bel pintunya tanpa apa pun otentikasi tetapi tidak memberikan bukti konsep publik karena kemungkinan penyalahgunaan taktik jika memang demikian dipublikasikan. Dia telah memberi tahu Eufy secara langsung dan sejak itu mengambil tindakan hukum untuk memastikan kepatuhan Eufy.
Saat ini, Eufy terlihat sangat buruk. Perusahaan, selama bertahun-tahun, berdiri di belakang hanya menyimpan data pengguna secara lokal dan tidak pernah mengunggah ke cloud. Sementara Eufi Juga memiliki layanan cloud, data tidak boleh diunggah ke cloud kecuali pengguna secara khusus mengizinkan praktik semacam itu.
Selain itu, menyimpan ID pengguna dan data pengenal pribadi lainnya di samping gambar wajah seseorang memang merupakan pelanggaran keamanan besar-besaran. Sementara Eufy sejak itu menambal kemampuan untuk dengan mudah menemukan URL dan data lain yang dikirim ke cloud, ada saat ini tidak ada cara untuk memverifikasi bahwa Eufy sedang atau tidak melanjutkan menyimpan data ini di cloud tanpa pengguna izin.