Что тебе нужно знать
- Исследователь безопасности Пол Мур обнаружил несколько недостатков безопасности в камерах Eufy.
- Пользовательские изображения и данные распознавания лиц отправляются в облако без согласия пользователя, а доступ к прямым трансляциям с камер якобы возможен без какой-либо аутентификации.
- Мур говорит, что некоторые проблемы с тех пор были исправлены, но не может проверить, правильно ли удаляются облачные данные. Мур, житель Великобритании, подал в суд на Eufy из-за возможного нарушения GDPR.
- Служба поддержки Eufy подтвердила некоторые проблемы и опубликовала официальное заявление по этому поводу, в котором говорится, что обновление приложения предложит уточненный язык.
Обновление 29 ноября, 11:32: Добавлен ответ Пола Мура на Android Central.
Обновление от 29 ноября, 15:30: Eufy опубликовал заявление, объясняющее, что происходит, которое можно увидеть ниже в разделе объяснений Eufy.
Обновление 1 декабря, 10:20: Добавлена информация The Verge обнаружила, что доступ к незашифрованным потокам камер можно получить с помощью программного обеспечения, такого как VLC.
Обновление 2 декабря, 9:08: Добавлено последнее заявление от Eufy.
Доступ к видеоматериалам с активных камер Eufy можно получить с помощью программного обеспечения для видео, такого как VLC, даже без надлежащей аутентификации.
В течение многих лет Eufy Security гордится своей мантрой защиты конфиденциальности пользователей, в первую очередь за счет локального хранения видео и других соответствующих данных. Но исследователь безопасности ставит это под сомнение, ссылаясь на доказательства, свидетельствующие о том, что некоторые камеры Eufy загрузка фотографий, изображений для распознавания лиц и других личных данных на свои облачные серверы без участия пользователя согласие.
А серия твитов от консультанта по информационной безопасности Пола Мура, кажется, показывает двойную камеру Eufy Doorbell, которая загружает данные распознавания лиц в облако Eufy AWS без шифрования. Мур показывает, что эти данные хранятся вместе с конкретным именем пользователя и другой идентифицируемой информацией. Вдобавок к этому Мур говорит, что эти данные хранятся на серверах Eufy на базе Amazon, даже если отснятый материал был «удален» из приложения Eufy.
Кроме того, Мур утверждает, что видео с камер можно передавать в потоковом режиме через веб-браузер, введя правильный URL-адрес, и что для просмотра указанных видео не требуется никакой аутентификационной информации. Грань с тех пор получил метод для потоковой передачи незашифрованных видео с камер Eufy и заявляет, что может передавать видео через бесплатное приложение VLC без какой-либо надлежащей аутентификации.
The Verge также заявила, что не может получить доступ к этому видео, если камера уже не была разбужена, обычно в результате обнаружения движения и последующей записи. С помощью этого метода нельзя случайно разбудить спящие камеры или получить к ним удаленный доступ.
Мур показывает доказательства того, что видео с камер Eufy, зашифрованные с помощью шифрования AES 128, делаются только с помощью простого ключа, а не правильной случайной строки. В этом примере видео Мура были сохранены с «ZXSecurity17Cam@» в качестве ключа шифрования, что может быть легко взломано любым, кому действительно нужны ваши кадры.
Любой, у кого есть серийный номер вашей камеры, теоретически может получить доступ, пока камера не спит.
В настоящее время кажется, что адрес, используемый для просмотра потока камеры, теперь скрыт от приложения и веб-интерфейс, поэтому, если кто-то не сделает этот адрес общедоступным, маловероятно, что этот эксплойт будет использоваться в дикой природе.
Если этот адрес будет обнародован, для получения доступа потребуется только серийный номер вашей камеры, закодированный в Base64, согласно расследованию The Verge. The Verge также сообщает, что, хотя адрес включает временную метку Unix, которую следует использовать для проверки, Система Eufy на самом деле не выполняет свою работу и проверяет все, что ставится на ее место, включая ерунду. слова.
Учитывая этот конкретный дизайн, любой, у кого есть серийный номер вашей камеры, теоретически может получить доступ, пока камера не спит.
Уведомления об миниатюрах Eufy загружают изображения в облако. Простое решение — отключить миниатюры в приложении Eufy.
Мур связался со службой поддержки Eufy, и они подтверждают доказательства, ссылаясь на то, что эти загрузки происходят, чтобы помочь с уведомлениями и другими данными. Служба поддержки, похоже, не предоставила вескую причину, по которой идентифицируемые пользовательские данные также прикрепляются к миниатюры, которые могут открыть огромную дыру в безопасности для других, чтобы найти ваши данные с правильным инструменты.
Мур говорит, что Eufy уже исправила некоторые проблемы, сделав невозможным проверку состояния сохраненных облачных данных, и опубликовала следующее заявление:
«К сожалению (или к счастью, как ни посмотри), Eufy уже удалил сетевой вызов и сильно зашифровал другие, чтобы сделать его почти невозможным для обнаружения; поэтому мои предыдущие PoC больше не работают. Возможно, вы сможете вызвать конкретную конечную точку вручную, используя показанные полезные данные, которые все равно могут вернуть результат».
Android Central ведет переговоры с Юфи и Полом Муром и будет обновлять эту статью по мере развития ситуации. На данный момент можно с уверенностью сказать, что если вы беспокоитесь о своей конфиденциальности — что вам абсолютно необходимо — нет особого смысла использовать камеру Eufy. либо внутри или вне вашего дома.
Eufy выпустила это обновленное заявление 2 декабря:
«Eufy Security категорически не согласна с обвинениями, выдвинутыми против компании в отношении безопасности наших продуктов. Однако мы понимаем, что недавние события могли вызвать беспокойство у некоторых пользователей. Мы часто пересматриваем и тестируем наши функции безопасности и поощряем обратную связь от более широкой индустрии безопасности, чтобы убедиться, что мы устраняем все заслуживающие доверия уязвимости безопасности. Если обнаружена заслуживающая доверия уязвимость, мы предпринимаем необходимые действия для ее устранения. Кроме того, мы соблюдаем требования всех соответствующих регулирующих органов на рынках, где продается наша продукция. Наконец, мы рекомендуем пользователям обращаться в нашу специальную службу поддержки клиентов с вопросами».
Первое утверждение и объяснение Юфи приведены ниже. Кроме того, мы также включили оригинальное доказательство концепции проблемы Пола Мура.
объяснение Юфи
29 ноября Eufy сообщил Android Central, что его «продукты, услуги и процессы полностью соответствуют со стандартами Общего регламента по защите данных (GDPR), включая ISO 27701/27001 и ETSI 303645. сертификаты».
По умолчанию уведомления камеры настроены только на текст и не создают и не загружают миниатюры любого типа. В случае г-на Мура он включил опцию отображения миниатюр вместе с уведомлением. Вот как это выглядит в приложении.
Eufy говорит, что эти эскизы временно загружаются на его серверы AWS, а затем включаются в уведомление на устройство пользователя. Эта логика работает, поскольку уведомления обрабатываются на стороне сервера, и, как правило, только текстовые уведомления с серверов Eufy не включают какие-либо данные изображения, если не указано иное.
Eufy говорит, что его методы push-уведомлений «соответствуют службе Apple Push Notification и Стандарты Firebase Cloud Messaging" и автоматическое удаление, но не указал сроки, в течение которых это должно происходить.
Более того, Юфи говорит, что «миниатюры используют шифрование на стороне сервера» и не должны быть видны пользователям, которые не вошли в систему. Приведенное ниже доказательство концепции г-на Мура использовало тот же сеанс веб-браузера в режиме инкогнито для извлечения эскизов, тем самым используя тот же веб-кэш, с помощью которого он ранее аутентифицировался.
Eufy говорит, что «хотя наше приложение eufy Security позволяет пользователям выбирать между текстовыми или миниатюрными push-уведомлениями, не было ясно, что выбор уведомлений на основе эскизов потребует кратковременного размещения изображений предварительного просмотра в облако. Это отсутствие связи было недосмотром с нашей стороны, и мы искренне извиняемся за нашу ошибку».
Eufy говорит, что вносит следующие изменения, чтобы улучшить общение по этому вопросу:
- Мы пересматриваем язык параметров push-уведомлений в приложении eufy Security, чтобы четко указать, что push-уведомления с эскизами требуют изображений для предварительного просмотра, которые будут временно храниться в облаке.
- Мы будем более четко разъяснять использование облака для push-уведомлений в наших маркетинговых материалах, предназначенных для потребителей.
Eufy еще не ответил на несколько дополнительных вопросов, которые Android Central отправил с вопросами о дополнительных проблемах, обнаруженных в доказательстве концепции Пола Мура ниже. В настоящее время кажется, что методы безопасности Eufy ошибочны и потребуют повторной разработки, прежде чем они будут исправлены.
Доказательство концепции Пола Мура
Eufy продает камеры двух основных типов: камеры, которые подключаются напрямую к домашней сети Wi-Fi, и камеры, которые подключаются к Eufy HomeBase только через локальное беспроводное соединение.
Базы Eufy HomeBase предназначены для локального хранения отснятого материала с камеры Eufy на жестком диске внутри устройства. Но даже если у вас дома есть HomeBase, при покупке SoloCam или дверного звонка, которые подключаются напрямую к Wi-Fi, ваши видеоданные будут храниться на самой камере Eufy, а не на HomeBase.
В случае Пола Мура он использовал двойной дверной звонок Eufy, который подключается напрямую к Wi-Fi и обходит HomeBase. Вот его первое видео на эту тему, опубликованное 23 ноября 2022 года.
В видео Мур показывает, как Eufy загружает как изображение, снятое с камеры, так и изображение распознавания лиц. Кроме того, он показывает, что изображение для распознавания лиц хранится вместе с несколькими битами метаданных, два из которых которые включают его имя пользователя (owner_ID), другой идентификатор пользователя, а также сохраненный и сохраненный идентификатор его лица (AI_Face_ID).
Что еще хуже, Мур использует другую камеру для запуска события движения, а затем проверяет данные, передаваемые на серверы Eufy в облаке AWS. Мур говорит, что он использовал другую камеру, другое имя пользователя и даже другую HomeBase для локального «хранения» отснятого материала, но Юфи смог пометить и связать идентификатор лица со своим изображением.
Это доказывает, что Eufy хранит эти данные распознавания лиц в своем облаке и, кроме того, позволяя камерам легко идентифицировать сохраненные лица, даже если они не принадлежат людям в этих изображений. Чтобы подтвердить это утверждение, Мур записал еще одно видео, в котором он удаляет клипы и доказывает, что изображения все еще находятся на серверах Eufy AWS.
Кроме того, Мур говорит, что он мог транслировать прямую трансляцию со своей камеры дверного звонка без каких-либо дополнительных действий. аутентификацию, но не предоставил публичное доказательство концепции из-за возможного неправильного использования тактики, если бы это было быть обнародованы. Он уведомил Eufy напрямую и с тех пор принял юридические меры для обеспечения соблюдения Eufy.
На данный момент это выглядит очень плохо для Юфи. В течение многих лет компания поддерживала только локальное хранение пользовательских данных и никогда не загружала их в облако. Пока Юфи также имеет облачные сервисы, никакие данные не должны загружаться в облако, если только пользователь не разрешит такую практику.
Кроме того, хранение идентификаторов пользователей и других данных, позволяющих установить личность, вместе с изображением лица человека, действительно является серьезным нарушением безопасности. Хотя с тех пор Eufy исправила возможность легко находить URL-адреса и другие данные, отправляемые в облако, есть в настоящее время нет возможности проверить, продолжает ли Eufy хранить эти данные в облаке без участия пользователя. согласие.