Co musisz wiedzieć
- Badacz bezpieczeństwa Paul Moore odkrył kilka luk w zabezpieczeniach kamer Eufy.
- Obrazy użytkowników i dane rozpoznawania twarzy są wysyłane do chmury bez zgody użytkownika, a dostęp do transmisji na żywo z kamery jest rzekomo możliwy bez żadnego uwierzytelnienia.
- Moore mówi, że niektóre problemy zostały już załatane, ale nie może zweryfikować, czy dane w chmurze są prawidłowo usuwane. Moore, mieszkaniec Wielkiej Brytanii, podjął kroki prawne przeciwko Eufy z powodu możliwego naruszenia RODO.
- Wsparcie Eufy potwierdziło niektóre problemy i wydało oficjalne oświadczenie w tej sprawie, mówiąc, że aktualizacja aplikacji zaoferuje wyjaśniony język.
Aktualizacja 29 listopada, 11:32: Dodano odpowiedź Paula Moore'a do Android Central.
Aktualizacja 29 listopada, 15:30: Eufy wydała oświadczenie wyjaśniające, co się dzieje, które można zobaczyć poniżej w sekcji wyjaśnień Eufy.
Aktualizacja 1 grudnia, 10:20: Dodano informacje Serwis The Verge potwierdził, że dostęp do niezaszyfrowanych strumieni z kamer można uzyskać za pośrednictwem oprogramowania takiego jak VLC.
Aktualizacja 2 grudnia, 9:08: Dodano najnowsze oświadczenie Eufy.
Dostęp do materiału wideo z aktywnych kamer Eufy można uzyskać za pośrednictwem oprogramowania wideo, takiego jak VLC, nawet bez odpowiedniego uwierzytelnienia.
Od lat Eufy Security szczyci się swoją mantrą ochrony prywatności użytkowników, przede wszystkim poprzez lokalne przechowywanie filmów i innych istotnych danych. Ale badacz bezpieczeństwa kwestionuje to, powołując się na dowody, które pokazują, że niektóre kamery Eufy są przesyłanie zdjęć, obrazów rozpoznawania twarzy i innych prywatnych danych na swoje serwery w chmurze bez użytkownika zgoda.
A seria tweetów od konsultanta ds. bezpieczeństwa informacji, Paula Moore'a, wydaje się pokazywać aparat Eufy Doorbell Dual przesyłający dane rozpoznawania twarzy do chmury Eufy AWS bez szyfrowania. Moore pokazuje, że te dane są przechowywane wraz z określoną nazwą użytkownika i innymi informacjami umożliwiającymi identyfikację. Dodając do tego, Moore mówi, że te dane są przechowywane na serwerach Eufy opartych na Amazon, nawet jeśli materiał filmowy został „usunięty” z aplikacji Eufy.
Ponadto Moore twierdzi, że filmy z kamer można przesyłać strumieniowo przez przeglądarkę internetową, wprowadzając odpowiedni adres URL, i że do wyświetlenia tych filmów nie są wymagane żadne informacje uwierzytelniające. Krawędź od tego czasu uzyskał metodę przesyłania strumieniowego niezaszyfrowanych filmów z kamer Eufy i twierdzi, że był w stanie przesyłać strumieniowo wideo za pośrednictwem bezpłatnej aplikacji VLC bez odpowiedniego uwierzytelnienia.
The Verge powiedział również, że nie był w stanie uzyskać dostępu do tego wideo, chyba że kamera została już obudzona, zwykle przez zdarzenie wykrycia ruchu i późniejsze nagranie. Uśpionych kamer nie można losowo obudzić ani zdalnie uzyskać do nich dostępu za pomocą tej metody.
Moore pokazuje dowody na to, że filmy z kamer Eufy, które są szyfrowane za pomocą szyfrowania AES 128, są wykonywane tylko za pomocą prostego klucza, a nie odpowiedniego losowego ciągu. W tym przykładzie filmy Moore'a były przechowywane z „ZXSecurity17Cam@” jako kluczem szyfrującym, co byłoby łatwe do złamania przez każdego, kto naprawdę chce twojego materiału.
Każdy, kto ma numer seryjny kamery, teoretycznie może uzyskać dostęp, o ile kamera jest wybudzona.
W tej chwili wygląda na to, że adres używany do przeglądania strumienia z kamery został ukryty przed aplikacją i interfejs sieciowy, więc jeśli ktoś nie upubliczni tego adresu, jest mało prawdopodobne, aby ten exploit został wykorzystany na wolności.
Gdyby ten adres został upubliczniony, uzyskanie dostępu wymagałoby jedynie numeru seryjnego aparatu zakodowanego w Base64, zgodnie z dochodzeniem The Verge. The Verge mówi również, że chociaż adres zawiera znacznik czasu systemu Unix, którego należy użyć do weryfikacji, System Eufy tak naprawdę nie wykonuje swojej pracy i zweryfikuje wszystko, co zostanie wprowadzone na jego miejsce, w tym nonsens słowa.
Biorąc pod uwagę ten konkretny projekt, każdy, kto zna numer seryjny twojego aparatu, teoretycznie mógłby uzyskać dostęp, o ile aparat jest wybudzony.
Powiadomienia miniatur Eufy przesyłają obrazy do chmury. Prostym rozwiązaniem jest wyłączenie miniatur w aplikacji Eufy.
Moore był w kontakcie ze wsparciem Eufy i potwierdzają dowody, powołując się na to, że te przesyłanie ma na celu pomoc w powiadomieniach i innych danych. Wygląda na to, że pomoc techniczna nie podała ważnego powodu, dla którego dołączane są również możliwe do zidentyfikowania dane użytkownika miniatury, które mogą otworzyć ogromną lukę w zabezpieczeniach, aby inni mogli znaleźć twoje dane z odpowiednimi danymi narzędzia.
Moore mówi, że Eufy załatała już niektóre problemy, uniemożliwiając weryfikację statusu przechowywanych danych w chmurze, i wydała następujące oświadczenie:
„Niestety (lub na szczęście, jakkolwiek na to spojrzysz), Eufy usunął już połączenie sieciowe i mocno zaszyfrował inne, aby było prawie niemożliwe do wykrycia; więc moje poprzednie PoC już nie działają. Możesz być w stanie ręcznie wywołać określony punkt końcowy, używając pokazanych ładunków, które nadal mogą zwrócić wynik.
Android Central prowadzi rozmowy zarówno z Eufy, jak i Paulem Moore'em i będzie aktualizować ten artykuł w miarę rozwoju sytuacji. W tym momencie można śmiało powiedzieć, że jeśli martwisz się o swoją prywatność – a absolutnie powinieneś – nie ma sensu używać aparatu Eufy albo wewnątrz lub poza domem.
Eufy wydała zaktualizowane oświadczenie 2 grudnia:
„eufy Security stanowczo nie zgadza się z zarzutami pod adresem firmy dotyczącymi bezpieczeństwa naszych produktów. Rozumiemy jednak, że ostatnie wydarzenia mogły zaniepokoić niektórych użytkowników. Często przeglądamy i testujemy nasze funkcje bezpieczeństwa i zachęcamy do wyrażania opinii z szerszej branży bezpieczeństwa, aby upewnić się, że usuwamy wszystkie wiarygodne luki w zabezpieczeniach. W przypadku zidentyfikowania wiarygodnej luki w zabezpieczeniach podejmujemy niezbędne działania w celu jej usunięcia. Ponadto przestrzegamy wszystkich odpowiednich organów regulacyjnych na rynkach, na których sprzedawane są nasze produkty. Na koniec zachęcamy użytkowników do kontaktowania się z naszym dedykowanym zespołem obsługi klienta z pytaniami”.
Pierwsze oświadczenie i wyjaśnienie Eufy znajdują się poniżej. Poza tym zamieściliśmy również oryginalny dowód słuszności koncepcji Paula Moore'a.
Wyjaśnienie Eufy
29 listopada Eufy powiedział Android Central, że „jego produkty, usługi i procesy są w pełni zgodne z normami ogólnego rozporządzenia o ochronie danych (RODO), w tym ISO 27701/27001 i ETSI 303645 certyfikaty”.
Domyślnie powiadomienia o aparacie są ustawione tylko na tekst i nie generują ani nie przesyłają żadnych miniatur. W przypadku pana Moore'a włączył opcję wyświetlania miniatur wraz z powiadomieniem. Oto jak to wygląda w aplikacji.
Eufy mówi, że te miniatury są tymczasowo przesyłane na serwery AWS, a następnie dołączane do powiadomienia na urządzeniu użytkownika. Ta logika sprawdza się, ponieważ powiadomienia są obsługiwane po stronie serwera i zwykle powiadomienie tekstowe z serwerów Eufy nie zawierałoby żadnych danych graficznych, chyba że określono inaczej.
Eufy twierdzi, że jej praktyki powiadomień push są „zgodne z usługą Apple Push Notification i Standardy Firebase Cloud Messaging” i automatyczne usuwanie, ale nie określił ram czasowych, w których powinno to nastąpić zdarzać się.
Ponadto Eufy mówi, że „miniatury wykorzystują szyfrowanie po stronie serwera” i nie powinny być widoczne dla niezalogowanych użytkowników. Poniższy dowód słuszności koncepcji pana Moore'a wykorzystywał tę samą sesję przeglądarki internetowej incognito do pobierania miniatur, wykorzystując w ten sposób tę samą pamięć podręczną sieci, za pomocą której wcześniej się uwierzytelniał.
Eufy mówi, że „chociaż nasza aplikacja eufy Security pozwala użytkownikom wybierać między powiadomieniami push w postaci tekstu lub miniatur, nie było jasne, że wybranie powiadomień opartych na miniaturach wymagałoby krótkiego hostowania obrazów podglądu w pliku Chmura. Ten brak komunikacji był z naszej strony niedopatrzeniem i szczerze przepraszamy za nasz błąd”.
Eufy mówi, że wprowadza następujące zmiany, aby poprawić komunikację w tej sprawie:
- Zmieniamy język opcji powiadomień push w aplikacji eufy Security, aby wyraźnie to uszczegółowić powiadomienia push z miniaturami wymagają obrazów podglądu, które będą tymczasowo przechowywane w chmurze.
- W naszych materiałach marketingowych skierowanych do konsumentów będziemy dokładniej informować o wykorzystaniu chmury do powiadomień push.
Eufy nie odpowiedział jeszcze na kilka dodatkowych pytań wysłanych przez Android Central z prośbą o dodatkowe problemy wykryte w poniższym dowodzie słuszności koncepcji Paula Moore'a. W tej chwili wydaje się, że metody bezpieczeństwa Eufy są wadliwe i wymagają przeprojektowania, zanim zostaną naprawione.
Dowód słuszności koncepcji Paula Moore'a
Eufy sprzedaje dwa główne typy kamer: kamery, które łączą się bezpośrednio z domową siecią Wi-Fi oraz kamery, które łączą się z bazą Eufy HomeBase tylko za pośrednictwem lokalnego połączenia bezprzewodowego.
Eufy HomeBase są przeznaczone do lokalnego przechowywania nagrań z kamery Eufy na dysku twardym wewnątrz urządzenia. Ale nawet jeśli masz w domu HomeBase, zakup SoloCam lub Doorbell, który łączy się bezpośrednio z Wi-Fi, spowoduje przechowywanie danych wideo w samej kamerze Eufy zamiast w HomeBase.
W przypadku Paula Moore'a korzystał z Eufy Doorbell Dual, który łączy się bezpośrednio z Wi-Fi i omija HomeBase. Oto jego pierwszy film na ten temat, opublikowany 23 listopada 2022 r.
W filmie Moore pokazuje, jak Eufy przesyła zarówno obraz przechwycony z kamery, jak i obraz rozpoznawania twarzy. Ponadto pokazuje, że obraz rozpoznawania twarzy jest przechowywany wraz z kilkoma bitami metadanych, z których dwa które obejmują jego nazwę użytkownika (identyfikator_właściciela), inny identyfikator użytkownika oraz zapisany i przechowywany identyfikator jego twarzy (AI_Face_ID).
Co gorsza, Moore używa innej kamery do wywołania zdarzenia ruchu, a następnie analizuje dane przesłane na serwery Eufy w chmurze AWS. Moore mówi, że użył innej kamery, innej nazwy użytkownika, a nawet innej bazy domowej do „przechowywania” materiału lokalnie, ale Eufy był w stanie oznaczyć i połączyć identyfikator twarzy ze swoim zdjęciem.
To dowodzi, że Eufy przechowuje te dane rozpoznawania twarzy w swojej chmurze, a ponadto tak jest umożliwiając kamerom łatwą identyfikację przechowywanych twarzy, nawet jeśli nie są one własnością osób na nich obrazy. Aby poprzeć to twierdzenie, Moore nagrał kolejny film, na którym usuwa klipy i udowadnia, że obrazy nadal znajdują się na serwerach AWS Eufy.
Ponadto Moore mówi, że był w stanie przesyłać strumieniowo materiał na żywo ze swojej kamery dzwonka do drzwi bez żadnego uwierzytelnienie, ale nie przedstawił publicznego dowodu koncepcji ze względu na możliwe niewłaściwe użycie taktyki, gdyby tak było zostać upublicznione. Powiadomił bezpośrednio Eufy i od tego czasu podjął środki prawne, aby zapewnić zgodność Eufy.
W tej chwili wygląda to bardzo źle dla Eufy. Firma od lat stoi za przechowywaniem danych użytkowników tylko lokalnie i nigdy nie przesyła ich do chmury. Podczas gdy Eufy Również ma usługi w chmurze, żadne dane nie powinny być przesyłane do chmury, chyba że użytkownik wyraźnie zezwoli na taką praktykę.
Co więcej, przechowywanie identyfikatorów użytkowników i innych danych osobowych wraz ze zdjęciem twarzy jest poważnym naruszeniem bezpieczeństwa. Chociaż od tego czasu Eufy załatała możliwość łatwego znajdowania adresów URL i innych danych wysyłanych do chmury, jest obecnie nie ma możliwości sprawdzenia, czy Eufy nadal przechowuje te dane w chmurze bez użytkownika zgoda.