Hva du trenger å vite
- Sikkerhetsforsker Paul Moore har oppdaget flere sikkerhetsfeil i Eufys kameraer.
- Brukerbilder og ansiktsgjenkjenningsdata sendes til skyen uten brukerens samtykke, og live kamerafeeds kan angivelig nås uten autentisering.
- Moore sier at noen av problemene siden har blitt rettet, men kan ikke bekrefte at skydata blir riktig slettet. Moore, bosatt i Storbritannia, har tatt rettslige skritt mot Eufy på grunn av et mulig brudd på GDPR.
- Eufy-støtte har bekreftet noen av problemene og utstedt en offisiell uttalelse om saken som sier at en appoppdatering vil tilby et tydelig språk.
Oppdatering 29. november kl. 11:32: La til Paul Moores svar på Android Central.
Oppdatering 29. november kl. 15.30: Eufy ga ut en uttalelse som forklarer hva som skjer, som kan sees nedenfor i Eufys forklaringsseksjon.
Oppdatering 1. desember kl. 10:20: Lagt til informasjon The Verge avdekket som bekrefter at ukrypterte kamerastrømmer kan nås via programvare som VLC.
Oppdatering 2. desember kl. 09:08: Lagt til den siste uttalelsen fra Eufy.
Videoopptak fra aktive Eufy-kameraer kan nås via videoprogramvare som VLC, selv uten riktig autentisering.
I årevis har Eufy Security vært stolt av sitt mantra om å beskytte brukernes personvern, først og fremst ved kun å lagre videoer og andre relevante data lokalt. Men en sikkerhetsforsker stiller spørsmål ved dette og siterer bevis som viser at noen Eufy-kameraer er det laste opp bilder, ansiktsgjenkjenningsbilder og andre private data til sine skyservere uten bruker samtykke.
EN serie med tweets fra informasjonssikkerhetskonsulent Paul Moore ser ut til å vise et Eufy Doorbell Dual-kamera som laster opp ansiktsgjenkjenningsdata til Eufys AWS-sky uten kryptering. Moore viser at disse dataene blir lagret sammen med et spesifikt brukernavn og annen identifiserbar informasjon. I tillegg sier Moore at disse dataene holdes på Eufys Amazon-baserte servere selv når opptakene er "slettet" fra Eufy-appen.
Videre hevder Moore at videoer fra kameraer kan streames via en nettleser ved å legge inn riktig URL og at ingen autentiseringsinformasjon trenger å være tilstede for å se nevnte videoer. The Verge har siden skaffet seg metoden for å streame ukrypterte videoer fra Eufy-kameraer og sier at den var i stand til å streame videoer via den gratis VLC-appen uten noen skikkelig autentisering.
The Verge sa også at den ikke kunne få tilgang til denne videoen med mindre kameraet allerede hadde blitt vekket, vanligvis av en bevegelsesdeteksjonshendelse og påfølgende opptak. Sovende kameraer kan ikke vekkes tilfeldig eller få tilgang til eksternt med denne metoden.
Moore viser bevis på at videoer fra Eufy-kameraer som er kryptert med AES 128-kryptering bare gjøres med en enkel nøkkel i stedet for en skikkelig tilfeldig streng. I eksemplet ble Moores videoer lagret med "ZXSecurity17Cam@" som krypteringsnøkkel, noe som lett ville blitt knekt av alle som virkelig ville ha opptakene dine.
Alle med kameraets serienummer kan teoretisk sett få tilgang så lenge kameraet er våkent.
På dette tidspunktet ser det ut til at adressen som ble brukt til å se en kamerastrøm nå er skjult fra appen og nettgrensesnitt, så med mindre noen gjør den adressen offentlig, er det ikke sannsynlig at denne utnyttelsen vil bli brukt i naturen.
Hvis den adressen skulle bli offentliggjort, krever innreise bare kameraets serienummer kodet i Base64, ifølge The Verges undersøkelse. The Verge sier også at mens adressen inkluderer et Unix-tidsstempel som skal brukes til verifisering, Eufys system gjør faktisk ikke jobben sin og vil bekrefte alt som er satt på plass, inkludert tull ord.
Gitt denne spesielle designen, kan alle med kameraets serienummer teoretisk sett få tilgang så lenge kameraet er våkent.
Eufys miniatyrbildevarsler laster opp bilder til skyen. Den enkle løsningen er å deaktivere miniatyrbilder i Eufy-appen.
Moore har vært i kontakt med Eufy-støtte og de bekrefter bevisene, og siterer at disse opplastingene skjer for å hjelpe med varsler og andre data. Support ser ikke ut til å ha gitt en gyldig grunn til at identifiserbare brukerdata også er knyttet til miniatyrbildene, som kan åpne opp et stort sikkerhetshull for andre å finne dataene dine med rett verktøy.
Moore sier at Eufy allerede har lappet noen av problemene, noe som gjør det umulig å verifisere lagret skydatastatus, og har utstedt følgende uttalelse:
"Dessverre (eller heldigvis, hvordan du ser på det), har Eufy allerede fjernet nettverksanropet og kraftig kryptert andre for å gjøre det nesten umulig å oppdage; så mine tidligere PoC-er fungerer ikke lenger. Du kan kanskje ringe det spesifikke endepunktet manuelt ved å bruke nyttelastene som vises, som fortsatt kan returnere et resultat."
Android Central er i diskusjon med både Eufy og Paul Moore og vil fortsette å oppdatere denne artikkelen etter hvert som situasjonen utvikler seg. På dette tidspunktet er det trygt å si at hvis du er bekymret for personvernet ditt - som du absolutt burde være - gir det ikke mye mening å bruke et Eufy-kamera enten inne eller utenfor hjemmet ditt.
Eufy ga denne oppdaterte uttalelsen 2. desember:
«eufy Security er strengt uenig i anklagene mot selskapet angående sikkerheten til produktene våre. Vi forstår imidlertid at de siste hendelsene kan ha skapt bekymring for enkelte brukere. Vi gjennomgår og tester ofte sikkerhetsfunksjonene våre og oppfordrer tilbakemeldinger fra den bredere sikkerhetsindustrien for å sikre at vi adresserer alle troverdige sikkerhetssårbarheter. Hvis en troverdig sårbarhet blir identifisert, tar vi de nødvendige tiltakene for å rette opp den. I tillegg overholder vi alle relevante reguleringsorganer i markedene der produktene våre selges. Til slutt oppfordrer vi brukere til å kontakte vårt dedikerte kundestøtteteam med spørsmål."
Eufys første uttalelse og forklaring er nedenfor. Utover det har vi også inkludert Paul Moores originale bevis på konseptet for problemet.
Eufys forklaring
29. november fortalte Eufy til Android Central at deres "produkter, tjenester og prosesser er i full samsvar med General Data Protection Regulation (GDPR) standarder, inkludert ISO 27701/27001 og ETSI 303645 sertifiseringer."
Som standard er kameravarsler satt til bare tekst og genererer eller laster ikke opp et miniatyrbilde av noe slag. I Mr. Moores tilfelle aktivert han muligheten til å vise miniatyrbilder sammen med varselet. Slik ser det ut i appen.
Eufy sier at disse miniatyrbildene blir midlertidig lastet opp til AWS-serverne og deretter samlet i varselet til en brukers enhet. Denne logikken sjekker ut siden varslinger håndteres på serversiden, og normalt vil en tekstmelding fra Eufys servere ikke inkludere noen form for bildedata med mindre annet er spesifisert.
Eufy sier at push-varslingspraksisen er "i samsvar med Apple Push Notification-tjenesten og Firebase Cloud Messaging-standarder" og automatisk sletting, men spesifiserte ikke en tidsramme for dette skje.
Dessuten sier Eufy at "miniatyrbilder bruker serverside-kryptering" og skal ikke være synlige for brukere som ikke er pålogget. Mr. Moores proof of concept nedenfor brukte den samme inkognito nettleserøkten for å hente miniatyrbilder, og brukte dermed den samme nettbufferen han tidligere autentiserte med.
Eufy sier at "selv om eufy Security-appen vår lar brukere velge mellom tekstbaserte eller miniatyrbilderbaserte push-varsler, det ble ikke gjort klart at valg av miniatyrbildebaserte varsler ville kreve at forhåndsvisningsbilder ble lagret kort i Sky. Den mangelen på kommunikasjon var en forglemmelse fra vår side, og vi beklager på det sterkeste for feilen vår."
Eufy sier at det gjør følgende endringer for å forbedre kommunikasjonen om denne saken:
- Vi reviderer språket for push-varslinger i eufy Security-appen for å tydelig beskrive det push-varsler med miniatyrbilder krever forhåndsvisningsbilder som vil lagres midlertidig i skyen.
- Vi vil være mer tydelige på bruken av sky for push-varsler i vårt forbrukervendte markedsføringsmateriell.
Eufy har ennå ikke svart på flere oppfølgingsspørsmål Android Central sendte for å spørre om flere problemer funnet i Paul Moores proof of concept nedenfor. På dette tidspunktet ser det ut til at Eufys sikkerhetsmetoder er mangelfulle og vil ta omstrukturering før de er fikset.
Paul Moores proof of concept
Eufy selger to hovedtyper kameraer: kameraer som kobles direkte til hjemmets Wi-Fi-nettverk, og kameraer som kun kobles til en Eufy HomeBase via en lokal trådløs tilkobling.
Eufy HomeBase er designet for å lagre Eufy-kameraopptak lokalt via en harddisk inne i enheten. Men selv om du har en HomeBase i hjemmet ditt, vil kjøp av et SoloCam eller ringeklokke som kobles direkte til Wi-Fi lagre videodataene dine på selve Eufy-kameraet i stedet for HomeBase.
I Paul Moores tilfelle brukte han en Eufy Doorbell Dual som kobles direkte til Wi-Fi og omgår en HomeBase. Her er hans første video om saken, publisert 23. november 2022.
I videoen viser Moore hvordan Eufy laster opp både bildet tatt fra kameraet og ansiktsgjenkjenningsbildet. Videre viser han at ansiktsgjenkjenningsbildet er lagret sammen med flere biter av metadata, to av som inkluderer brukernavnet hans (owner_ID), en annen bruker-ID og den lagrede og lagrede IDen for ansiktet hans (AI_Face_ID).
Det som gjør saken verre er at Moore bruker et annet kamera for å utløse en bevegelseshendelse, og deretter undersøker dataene som er overført til Eufys servere i AWS-skyen. Moore sier at han brukte et annet kamera, et annet brukernavn og til og med en annen HomeBase for å "lagre" opptakene lokalt, men Eufy var i stand til å merke og koble ansikts-ID-en til bildet hans.
Det beviser at Eufy lagrer disse ansiktsgjenkjenningsdataene i skyen sin, og på toppen av det er slik at kameraer enkelt kan identifisere lagrede ansikter selv om de ikke eies av personene i disse Bilder. For å støtte denne påstanden, spilte Moore inn en annen video av ham som sletter klippene og beviser at bildene fortsatt er plassert på Eufys AWS-servere.
I tillegg sier Moore at han var i stand til å streame live-opptak fra ringeklokkekameraet sitt uten noen autentisering, men ga ikke offentlig bevis på konseptet på grunn av mulig misbruk av taktikken hvis det skulle gjøres offentlig. Han har varslet Eufy direkte og har siden iverksatt juridiske tiltak for å sikre at Eufy overholder.
For øyeblikket ser dette veldig dårlig ut for Eufy. Selskapet har i årevis stått bak kun å holde brukerdata lokalt og aldri laste opp til skyen. Mens Eufy også har skytjenester, skal ingen data lastes opp til skyen med mindre en bruker spesifikt tillater en slik praksis.
Dessuten er lagring av bruker-IDer og andre personlig identifiserbare data sammen med et bilde av en persons ansikt et massivt sikkerhetsbrudd. Mens Eufy siden har lappet muligheten til å enkelt finne nettadressene og andre data som sendes til skyen, er det foreløpig ingen måte å bekrefte at Eufy fortsetter eller ikke fortsetter å lagre disse dataene i skyen uten bruker samtykke.