Wat je moet weten
- Beveiligingsonderzoeker Paul Moore heeft verschillende beveiligingsfouten ontdekt in de camera's van Eufy.
- Gebruikersafbeeldingen en gezichtsherkenningsgegevens worden zonder toestemming van de gebruiker naar de cloud gestuurd en live camerafeeds zijn naar verluidt toegankelijk zonder enige authenticatie.
- Moore zegt dat sommige problemen inmiddels zijn verholpen, maar hij kan niet verifiëren of cloudgegevens correct worden verwijderd. Moore, een inwoner van het VK, heeft juridische stappen ondernomen tegen Eufy vanwege een mogelijke schending van de AVG.
- Eufy-ondersteuning heeft enkele van de problemen bevestigd en een officiële verklaring over de kwestie afgegeven waarin staat dat een app-update verduidelijking van de taal zal bieden.
Update 29 nov, 11:32 uur: Reactie van Paul Moore op Android Central toegevoegd.
Update 29 nov, 15.30 uur: Eufy heeft een verklaring uitgegeven waarin wordt uitgelegd wat er aan de hand is, die hieronder te zien is in de uitlegsectie van Eufy.
Update 1 december, 10:20 uur:
Toegevoegde informatie die The Verge ontdekte, bevestigt dat niet-versleutelde camerastreams toegankelijk zijn via software zoals VLC.Update 2 december, 9:08 uur: De laatste verklaring van Eufy toegevoegd.
Videobeelden van actieve Eufy-camera's zijn toegankelijk via videosoftware zoals VLC, zelfs zonder de juiste authenticatie.
Eufy Security is al jaren trots op zijn mantra om de privacy van gebruikers te beschermen, voornamelijk door alleen video's en andere relevante gegevens lokaal op te slaan. Maar een beveiligingsonderzoeker trekt dit in twijfel, daarbij verwijzend naar bewijs waaruit blijkt dat sommige Eufy-camera's dat wel zijn het uploaden van foto's, gezichtsherkenningsbeelden en andere privégegevens naar zijn cloudservers zonder gebruiker toestemming.
A reeks tweets van informatiebeveiligingsadviseur Paul Moore lijkt een Eufy Doorbell Dual-camera te laten zien die gezichtsherkenningsgegevens uploadt naar Eufy's AWS-cloud zonder codering. Moore laat zien dat deze gegevens worden opgeslagen naast een specifieke gebruikersnaam en andere identificeerbare informatie. Bovendien zegt Moore dat deze gegevens worden bewaard op de op Amazon gebaseerde servers van Eufy, zelfs wanneer de beelden zijn "verwijderd" uit de Eufy-app.
Verder beweert Moore dat video's van camera's via een webbrowser kunnen worden gestreamd door de juiste URL in te voeren en dat er geen authenticatie-informatie aanwezig hoeft te zijn om die video's te bekijken. De rand heeft sindsdien de methode verkregen om niet-versleutelde video's van Eufy-camera's te streamen en zegt dat het video's kon streamen via de gratis VLC-app zonder enige juiste authenticatie.
The Verge zei ook dat het geen toegang had tot deze video tenzij de camera al was gewekt, meestal door een bewegingsdetectiegebeurtenis en daaropvolgende opname. Met deze methode kunnen slaapcamera's niet willekeurig worden gewekt of op afstand worden benaderd.
Moore toont bewijs dat video's van Eufy-camera's die zijn gecodeerd met AES 128-codering, alleen worden gedaan met een eenvoudige sleutel in plaats van een goede willekeurige reeks. In het voorbeeld werden de video's van Moore opgeslagen met "ZXSecurity17Cam@" als de coderingssleutel, iets dat gemakkelijk zou kunnen worden gekraakt door iedereen die echt je beeldmateriaal wil hebben.
Iedereen met het serienummer van uw camera zou in theorie toegang kunnen krijgen zolang de camera wakker is.
Op dit moment lijkt het erop dat het adres dat wordt gebruikt om de stream van een camera te bekijken, nu is verborgen voor de app en de webinterface dus, tenzij iemand dat adres openbaar maakt, is het niet waarschijnlijk dat deze exploit in het wild zal worden gebruikt.
Als dat adres openbaar zou worden gemaakt, is voor toegang alleen het serienummer van je camera nodig, gecodeerd in Base64, volgens het onderzoek van The Verge. The Verge zegt ook dat, hoewel het adres een Unix-tijdstempel bevat dat moet worden gebruikt voor verificatie, Het systeem van Eufy doet zijn werk niet echt en zal alles verifiëren dat op zijn plaats wordt gezet, inclusief onzin woorden.
Gezien dit specifieke ontwerp zou iedereen met het serienummer van uw camera in theorie toegang kunnen krijgen zolang de camera wakker is.
De miniatuurmeldingen van Eufy uploaden afbeeldingen naar de cloud. De eenvoudige oplossing is om miniaturen in de Eufy-app uit te schakelen.
Moore heeft contact gehad met Eufy-ondersteuning en zij bevestigen het bewijs, daarbij verwijzend naar het feit dat deze uploads plaatsvinden om te helpen met meldingen en andere gegevens. Ondersteuning lijkt geen geldige reden te hebben gegeven waarom er ook identificeerbare gebruikersgegevens aan zijn gekoppeld de miniaturen, die een enorm beveiligingslek kunnen openen voor anderen om uw gegevens met de juiste rechten te vinden hulpmiddelen.
Moore zegt dat Eufy al een aantal problemen heeft opgelost, waardoor het onmogelijk is om de status van opgeslagen cloudgegevens te verifiëren, en heeft de volgende verklaring afgegeven:
"Helaas (of gelukkig, hoe je het ook wendt of keert) heeft Eufy de netwerkoproep al verwijderd en andere zwaar gecodeerd om het bijna onmogelijk te maken om te detecteren; dus mijn vorige PoC's werken niet meer. Mogelijk kunt u het specifieke eindpunt handmatig aanroepen met behulp van de weergegeven payloads, wat nog steeds een resultaat kan opleveren."
Android Central is in gesprek met zowel Eufy als Paul Moore en zal dit artikel blijven updaten naarmate de situatie zich ontwikkelt. Op dit moment is het veilig om te zeggen dat als u zich zorgen maakt over uw privacy - wat u absoluut zou moeten zijn - het niet veel zin heeft om een Eufy-camera te gebruiken ofwel binnen of buiten uw huis.
Eufy heeft op 2 december deze bijgewerkte verklaring uitgegeven:
"eufy Security is het absoluut niet eens met de beschuldigingen die tegen het bedrijf zijn geuit met betrekking tot de veiligheid van onze producten. We begrijpen echter dat de recente gebeurtenissen sommige gebruikers mogelijk zorgen baren. We beoordelen en testen onze beveiligingsfuncties regelmatig en moedigen feedback van de bredere beveiligingsindustrie aan om ervoor te zorgen dat we alle geloofwaardige beveiligingsproblemen aanpakken. Als een geloofwaardige kwetsbaarheid wordt geïdentificeerd, nemen we de nodige maatregelen om deze te corrigeren. Bovendien voldoen we aan alle toepasselijke regelgevende instanties in de markten waar onze producten worden verkocht. Ten slotte moedigen we gebruikers aan om bij vragen contact op te nemen met ons toegewijde klantenserviceteam."
Eufy's eerste verklaring en uitleg staan hieronder. Daarnaast hebben we ook Paul Moore's originele proof of concept van het probleem opgenomen.
Eufy's uitleg
Op 29 november vertelde Eufy aan Android Central dat zijn "producten, diensten en processen volledig in orde zijn met de normen van de Algemene Verordening Gegevensbescherming (AVG), waaronder ISO 27701/27001 en ETSI 303645 certificeringen."
Camerameldingen zijn standaard ingesteld op alleen tekst en genereren of uploaden geen enkele miniatuur. In het geval van de heer Moore heeft hij de optie ingeschakeld om miniaturen samen met de melding weer te geven. Zo ziet het eruit in de app.
Eufy zegt dat deze miniaturen tijdelijk worden geüpload naar zijn AWS-servers en vervolgens worden gebundeld in de melding op het apparaat van een gebruiker. Deze logica klopt omdat meldingen aan de serverzijde worden afgehandeld en normaal gesproken zou een alleen-tekstmelding van de servers van Eufy geen enkele vorm van afbeeldingsgegevens bevatten, tenzij anders aangegeven.
Eufy zegt dat zijn praktijken voor pushmeldingen "in overeenstemming zijn met de Apple Push Notification-service en Firebase Cloud Messaging-standaarden" en automatisch verwijderen, maar specificeerde geen tijdsbestek waarin dit zou moeten voorkomen.
Bovendien zegt Eufy dat "thumbnails server-side encryptie gebruiken" en niet zichtbaar zouden moeten zijn voor gebruikers die niet zijn ingelogd. De onderstaande proof of concept van de heer Moore gebruikte dezelfde incognito webbrowsersessie om miniaturen op te halen, waarbij hij dezelfde webcache gebruikte waarmee hij zich eerder authenticeerde.
Eufy zegt dat "hoewel onze eufy Security-app gebruikers in staat stelt te kiezen tussen op tekst gebaseerde of op miniaturen gebaseerde pushmeldingen, het was niet duidelijk gemaakt dat het kiezen van op miniaturen gebaseerde meldingen zou vereisen dat voorbeeldafbeeldingen kort in de wolk. Dat gebrek aan communicatie was een vergissing van onze kant en we bieden onze oprechte excuses aan voor onze fout."
Eufy zegt de volgende wijzigingen aan te brengen om de communicatie hierover te verbeteren:
- We herzien de optietaal voor pushmeldingen in de eufy Security-app om dat duidelijk te beschrijven pushmeldingen met miniaturen vereisen voorbeeldafbeeldingen die tijdelijk in de cloud worden opgeslagen.
- We zullen duidelijker zijn over het gebruik van de cloud voor pushmeldingen in ons op de consument gerichte marketingmateriaal.
Eufy moet nog reageren op verschillende vervolgvragen die Android Central heeft gestuurd met vragen over aanvullende problemen in Paul Moore's proof of concept hieronder. Op dit moment lijkt het erop dat de beveiligingsmethoden van Eufy gebrekkig zijn en opnieuw moeten worden ontworpen voordat ze worden opgelost.
Proof of concept van Paul Moore
Eufy verkoopt twee hoofdtypen camera's: camera's die rechtstreeks verbinding maken met het Wi-Fi-thuisnetwerk en camera's die alleen verbinding maken met een Eufy HomeBase via een lokale draadloze verbinding.
Eufy HomeBase's zijn ontworpen om Eufy-camerabeelden lokaal op te slaan via een harde schijf in het apparaat. Maar zelfs als je een HomeBase in huis hebt, zal de aankoop van een SoloCam of Doorbell die rechtstreeks verbinding maakt met Wi-Fi je videogegevens opslaan op de Eufy-camera zelf in plaats van op de HomeBase.
In het geval van Paul Moore gebruikte hij een Eufy Doorbell Dual die rechtstreeks verbinding maakt met wifi en een HomeBase omzeilt. Hier is zijn eerste video over het probleem, gepubliceerd op 23 november 2022.
In de video laat Moore zien hoe Eufy zowel het beeld van de camera als het gezichtsherkenningsbeeld uploadt. Verder laat hij zien dat het gezichtsherkenningsbeeld wordt opgeslagen naast verschillende stukjes metadata, waarvan er twee waaronder zijn gebruikersnaam (owner_ID), een andere gebruikers-ID en de opgeslagen en opgeslagen ID voor zijn gezicht (AI_Face_ID).
Wat de zaken nog erger maakt, is dat Moore een andere camera gebruikt om een bewegingsgebeurtenis te activeren en vervolgens de gegevens onderzoekt die zijn overgebracht naar de servers van Eufy in de AWS-cloud. Moore zegt dat hij een andere camera, een andere gebruikersnaam en zelfs een andere HomeBase gebruikte om de beelden lokaal op te slaan, maar Eufy kon de gezichts-ID taggen en koppelen aan zijn foto.
Dat bewijst dat Eufy deze gezichtsherkenningsgegevens in zijn cloud opslaat en dat bovendien ook is waardoor camera's gemakkelijk opgeslagen gezichten kunnen identificeren, ook al zijn ze niet het eigendom van de mensen op die gezichten afbeeldingen. Om die bewering te staven, nam Moore nog een video op waarin hij de clips verwijderde en bewees dat de afbeeldingen zich nog steeds op de AWS-servers van Eufy bevinden.
Bovendien zegt Moore dat hij live beelden van zijn deurbelcamera zonder camera kon streamen authenticatie, maar leverde geen openbaar bewijs van concept op vanwege mogelijk misbruik van de tactiek als dat zou gebeuren openbaar worden gemaakt. Hij heeft Eufy rechtstreeks op de hoogte gebracht en heeft sindsdien juridische maatregelen genomen om ervoor te zorgen dat Eufy hieraan voldoet.
Op dit moment ziet dit er erg slecht uit voor Eufy. Het bedrijf staat er al jaren achter om gebruikersgegevens alleen lokaal te houden en nooit naar de cloud te uploaden. Terwijl Eufy Ook cloudservices heeft, mogen er geen gegevens naar de cloud worden geüpload, tenzij een gebruiker dit specifiek toestaat.
Bovendien is het opslaan van gebruikers-ID's en andere persoonlijk identificeerbare gegevens naast een foto van iemands gezicht inderdaad een enorme inbreuk op de beveiliging. Hoewel Eufy sindsdien de mogelijkheid heeft gepatcht om eenvoudig de URL's en andere gegevens te vinden die naar de cloud worden verzonden, is dat wel zo momenteel geen manier om te verifiëren of Eufy deze gegevens al dan niet zonder gebruiker in de cloud blijft opslaan toestemming.