Kas jums jāzina
- Drošības pētnieks Pols Mūrs atklājis vairākas drošības nepilnības Eufy kamerās.
- Lietotāju attēli un sejas atpazīšanas dati tiek nosūtīti uz mākoni bez lietotāja piekrišanas, un tiešraides kameru plūsmām var piekļūt bez jebkādas autentifikācijas.
- Mūrs saka, ka dažas problēmas kopš tā laika ir izlabotas, taču nevar pārbaudīt, vai mākoņa dati tiek pareizi dzēsti. Apvienotās Karalistes iedzīvotājs Mūrs ir sācis tiesvedību pret Eufy iespējamā GDPR pārkāpuma dēļ.
- Eufy atbalsts ir apstiprinājis dažas problēmas un izdevis oficiālu paziņojumu par šo jautājumu, sakot, ka lietotnes atjauninājumā tiks piedāvāta skaidrāka valoda.
Atjaunināts 29. novembrī, 11:32: Pievienota Pola Mūra atbilde Android Central.
Atjauninājums 29. novembrī, 15:30: Eufy izdeva paziņojumu, kurā paskaidrots, kas notiek, un to var redzēt zemāk Eufy paskaidrojumu sadaļā.
Atjauninājums 1. decembrī, 10:20: Papildināta informācija, ko atklāja The Verge, kas apstiprina, ka nešifrētām kameru straumēm var piekļūt, izmantojot tādu programmatūru kā VLC.
Atjaunināts 2. decembrī, 9:08: Pievienots jaunākais Eufy paziņojums.
Videomateriālam no aktīvajām Eufy kamerām var piekļūt, izmantojot video programmatūru, piemēram, VLC, pat bez atbilstošas autentifikācijas.
Jau gadiem ilgi Eufy Security ir lepojusies ar savu mantru aizsargāt lietotāju privātumu, galvenokārt tikai lokāli saglabājot videoklipus un citus attiecīgos datus. Taču drošības pētnieks to apšauba, atsaucoties uz pierādījumiem, kas liecina, ka dažas Eufy kameras tādas ir augšupielādē fotoattēlus, sejas atpazīšanas attēlus un citus privātus datus mākoņserveros bez lietotāja piekrišanu.
A tvītu sērija no informācijas drošības konsultanta Pola Mūra, šķiet, rāda Eufy Doorbell Dual kameru, kas augšupielādē sejas atpazīšanas datus Eufy AWS mākonī bez šifrēšanas. Mūrs parāda, ka šie dati tiek glabāti kopā ar konkrētu lietotājvārdu un citu identificējamu informāciju. Papildus tam Mūrs saka, ka šie dati tiek glabāti Eufy Amazon serveros pat tad, ja kadri ir "dzēsti" no lietotnes Eufy.
Turklāt Mūrs apgalvo, ka video no kamerām var straumēt, izmantojot tīmekļa pārlūkprogrammu, ievadot pareizo URL, un, lai skatītu šos videoklipus, nav nepieciešama autentifikācijas informācija. The Verge kopš tā laika ir ieguvis metodi nešifrētu videoklipu straumēšanai no Eufy kamerām un saka, ka tā varēja straumēt videoklipus, izmantojot bezmaksas VLC lietotni, bez atbilstošas autentifikācijas.
The Verge arī teica, ka nevarēja piekļūt šim videoklipam, ja vien kamera jau nebija pamodināta, parasti kustības noteikšanas notikuma un sekojoša ieraksta dēļ. Izmantojot šo metodi, miega kameras nevar nejauši pamodināt vai tām piekļūt attālināti.
Mūrs parāda pierādījumus, ka video no Eufy kamerām, kas ir šifrēti ar AES 128 šifrēšanu, tiek darīti tikai ar vienkāršu atslēgu, nevis pareizu nejaušu virkni. Piemērā Mūra videoklipi tika saglabāti ar "ZXSecurity17Cam@" kā šifrēšanas atslēgu, ko varētu viegli uzlauzt ikviens, kurš patiešām vēlas jūsu uzņemto materiālu.
Ikviens, kuram ir zināms jūsu kameras sērijas numurs, teorētiski varētu piekļūt, kamēr kamera ir nomodā.
Pašlaik šķiet, ka kameras straumes skatīšanai izmantotā adrese tagad ir paslēpta no lietotnes un tīmekļa saskarne, tādēļ, ja vien kāds šo adresi nepadara publisku, visticamāk, šī izmantošana netiks izmantota savvaļā.
Ja šī adrese tiktu publiskota, lai iekļūtu tajā, ir nepieciešams tikai jūsu kameras sērijas numurs, kas kodēts Base64 saskaņā ar The Verge izmeklēšanu. Verge arī saka, ka, lai gan adresē ir iekļauts Unix laikspiedols, kas jāizmanto verifikācijai, Eufy sistēma faktiski neveic savu darbu un pārbaudīs visu, kas ir ievietots tās vietā, tostarp muļķības vārdus.
Ņemot vērā šo konkrēto dizainu, ikviens, kam ir jūsu kameras sērijas numurs, teorētiski varētu piekļūt, kamēr kamera ir nomodā.
Eufy sīktēlu paziņojumi augšupielādē attēlus mākonī. Vienkāršs risinājums ir atspējot sīktēlus lietotnē Eufy.
Mūrs ir sazinājies ar Eufy atbalstu, un viņi apstiprina pierādījumus, atsaucoties uz to, ka šīs augšupielādes tiek veiktas, lai palīdzētu saņemt paziņojumus un citus datus. Šķiet, ka atbalsts nav sniedzis pamatotu iemeslu, kāpēc tiek pievienoti arī identificējami lietotāja dati sīktēlus, kas var pavērt milzīgu drošības robu, lai citi varētu atrast jūsu datus pareizi instrumenti.
Mūrs saka, ka Eufy jau ir izlabojis dažas problēmas, padarot neiespējamu saglabāto mākoņdatu statusa pārbaudi, un ir izdevis šādu paziņojumu:
"Diemžēl (vai par laimi, lai kā arī paskatītos), Eufy jau ir noņēmis tīkla zvanu un stipri šifrējis citus, lai padarītu to gandrīz neiespējamu noteikt; tāpēc mani iepriekšējie PoC vairs nedarbojas. Iespējams, varēsiet manuāli izsaukt konkrēto galapunktu, izmantojot parādītās lietderīgās slodzes, kas joprojām var atgriezt rezultātu."
Android Central apspriež gan Eufy, gan Polu Mūru un turpinās atjaunināt šo rakstu, situācijai attīstoties. Šobrīd var droši teikt, ka, ja uztraucaties par savu privātumu, kam jums noteikti vajadzētu būt, nav jēgas izmantot Eufy kameru. vai nu iekšā vai ārpus jūsu mājas.
Eufy izdeva šo atjaunināto paziņojumu 2. decembrī:
"Eufy Security kategoriski nepiekrīt uzņēmumam izvirzītajām apsūdzībām saistībā ar mūsu produktu drošību. Tomēr mēs saprotam, ka nesenie notikumi, iespējams, ir radījuši bažas dažiem lietotājiem. Mēs bieži pārskatām un pārbaudām savus drošības līdzekļus un mudinām sniegt atsauksmes no plašākas drošības nozares, lai nodrošinātu, ka tiek novērstas visas ticamās drošības ievainojamības. Ja tiek konstatēta ticama ievainojamība, mēs veicam nepieciešamās darbības, lai to novērstu. Turklāt mēs ievērojam visas atbilstošās regulatīvās iestādes tirgos, kur tiek pārdoti mūsu produkti. Visbeidzot, mēs mudinām lietotājus sazināties ar mūsu īpašo klientu atbalsta komandu ar jautājumiem."
Eufy pirmais paziņojums un skaidrojums ir zemāk. Papildus tam mēs esam iekļāvuši arī Pola Mūra sākotnējo šī jautājuma koncepcijas pierādījumu.
Eifija skaidrojums
29. novembrī Eufy pastāstīja Android Central, ka tā "produkti, pakalpojumi un procesi pilnībā atbilst ar Vispārējās datu aizsardzības regulas (GDPR) standartiem, tostarp ISO 27701/27001 un ETSI 303645 sertifikāti."
Pēc noklusējuma kameras paziņojumi ir iestatīti kā tikai teksts, un tie neģenerē un neaugšupielādē nekāda veida sīktēlus. Mūra kunga gadījumā viņš iespējoja iespēju kopā ar paziņojumu rādīt sīktēlus. Lūk, kā tas izskatās lietotnē.
Eufy saka, ka šie sīktēli tiek īslaicīgi augšupielādēti tā AWS serveros un pēc tam tiek iekļauti paziņojumā lietotāja ierīcē. Šī loģika tiek pārbaudīta, jo paziņojumi tiek apstrādāti servera pusē, un parasti tikai teksta paziņojumā no Eufy serveriem nav ietverti nekādi attēla dati, ja vien nav norādīts citādi.
Eufy saka, ka tā push paziņojumu prakse "atbilst Apple Push Notification pakalpojumam un Firebase mākoņa ziņojumapmaiņas standarti" un automātiska dzēšana, taču netika norādīts laika posms, kurā tas būtu jādara rodas.
Turklāt Eufy saka, ka "sīktēli izmanto servera puses šifrēšanu" un tiem nevajadzētu būt redzamiem lietotājiem, kuri nav pieteikušies. Tālāk sniegtajā Mūra kunga koncepcijas pierādījumā tika izmantota tā pati inkognito tīmekļa pārlūkprogrammas sesija, lai izgūtu sīktēlus, tādējādi izmantojot to pašu tīmekļa kešatmiņu, ar kuru viņš iepriekš autentificējās.
Eufy saka, ka "lai gan mūsu lietotne eufy Security ļauj lietotājiem izvēlēties teksta vai sīktēlu informatīvos paziņojumus, netika skaidri norādīts, ka, izvēloties paziņojumus, kuru pamatā ir sīktēli, priekšskatījuma attēli ir īslaicīgi jāmitina mākonis. Šis komunikācijas trūkums bija mūsu neuzmanība, un mēs patiesi atvainojamies par savu kļūdu."
Eufy saka, ka veic šādas izmaiņas, lai uzlabotu saziņu šajā jautājumā:
- Mēs pārskatām push paziņojumu opciju valodu lietotnē eufy Security, lai to skaidri norādītu push paziņojumiem ar sīktēliem ir nepieciešami priekšskatījuma attēli, kas īslaicīgi tiks saglabāti mākonī.
- Patērētājiem paredzētajos mārketinga materiālos mēs sniegsim skaidrāku informāciju par mākoņa izmantošanu pašpiegādes paziņojumiem.
Eufy vēl nav atbildējis uz vairākiem papildu jautājumiem, ko Android Central nosūtīja, jautājot par papildu problēmām, kas atrodamas tālāk esošajā Pola Mūra koncepcijas pierādījumā. Pašlaik šķiet, ka Eufy drošības metodes ir kļūdainas, un pirms to labošanas tās būs jāpārveido.
Pola Mūra koncepcijas pierādījums
Eufy pārdod divus galvenos kameru veidus: kameras, kas savieno tieši ar jūsu mājas Wi-Fi tīklu, un kameras, kas savienojas tikai ar Eufy HomeBase, izmantojot vietējo bezvadu savienojumu.
Eufy HomeBase ir paredzēti, lai lokāli uzglabātu Eufy kameru uzņemtos materiālus, izmantojot ierīces cieto disku. Bet pat tad, ja jūsu mājās ir HomeBase, iegādājoties SoloCam vai Doorbell, kas savieno tieši ar Wi-Fi, jūsu video dati tiks saglabāti pašā Eufy kamerā, nevis HomeBase.
Pola Mūra gadījumā viņš izmantoja Eufy Doorbell Dual, kas savieno tieši ar Wi-Fi un apiet HomeBase. Šis ir viņa pirmais videoklips par šo problēmu, kas publicēts 2022. gada 23. novembrī.
Videoklipā Mūrs parāda, kā Eufy augšupielādē gan no kameras uzņemto attēlu, gan sejas atpazīšanas attēlu. Turklāt viņš parāda, ka sejas atpazīšanas attēls tiek saglabāts kopā ar vairākiem metadatu bitiem, no kuriem divi kas ietver viņa lietotājvārdu (owner_ID), citu lietotāja ID un saglabāto un saglabāto viņa sejas ID (AI_Face_ID).
Vēl sliktāk ir tas, ka Mūrs izmanto citu kameru, lai aktivizētu kustības notikumu, un pēc tam pārbauda datus, kas pārsūtīti uz Eufy serveriem AWS mākonī. Mūrs saka, ka viņš izmantoja citu kameru, atšķirīgu lietotājvārdu un pat citu HomeBase, lai “glabātu” uzņemtos materiālus lokāli, tomēr Eufy varēja atzīmēt un saistīt sejas ID ar savu attēlu.
Tas pierāda, ka Eufy šos sejas atpazīšanas datus glabā savā mākonī, un turklāt tas arī ir ļauj kamerām viegli identificēt saglabātās sejas, pat ja tās nepieder tajās esošajiem cilvēkiem attēlus. Lai pamatotu šo apgalvojumu, Mūrs ierakstīja vēl vienu videoklipu, kurā viņš izdzēš klipus un pierāda, ka attēli joprojām atrodas Eufy AWS serveros.
Turklāt Mūrs saka, ka viņam bez tā bija iespēja straumēt tiešraides kadrus no savas durvju zvana kameras autentifikāciju, bet nesniedza publisku koncepcijas pierādījumu, jo, ja tā būtu, taktika varētu tikt izmantota nepareizi publiskot. Viņš ir tieši informējis Eufy un kopš tā laika ir veicis juridiskus pasākumus, lai nodrošinātu Eufy atbilstību.
Šobrīd Eufy tas izskatās ļoti slikti. Uzņēmums gadiem ilgi ir atbalstījis tikai lietotāju datu lokālu saglabāšanu un nekad neaugšupielādēšanu mākonī. Kamēr Eufy arī ir mākoņpakalpojumi, mākonī nevajadzētu augšupielādēt datus, ja vien lietotājs īpaši neatļauj šādu praksi.
Turklāt lietotāju ID un citu personu identificējošu datu glabāšana kopā ar personas sejas attēlu patiešām ir milzīgs drošības pārkāpums. Lai gan kopš tā laika Eufy ir labojis iespēju viegli atrast vietrāžus URL un citus datus, kas tiek nosūtīti uz mākoni, pašlaik nav iespējams pārbaudīt, vai Eufy turpina vai neturpina glabāt šos datus mākonī bez lietotāja piekrišanu.