Что тебе нужно знать
- Eufy обновил свое приложение до версии 4.5.1, включив в него заявление о загрузке пользовательских данных на облачный сервер AWS.
- Изображения с высоким разрешением, потенциально содержащие конфиденциальные пользовательские данные, загружались в облако с помощью push-уведомлений без ведома или разрешения пользователя.
- Хотя Android Central больше не может рекомендовать продукты Eufy, пользователи, которые все еще используют его продукты, должны изменить свои push-уведомления на «только текст».
Eufy пытается остановить кровотечение, выпуская патч, пытаясь решить важные проблемы безопасности.
В соответствии с ZDNet, в понедельник началось развертывание исправления для приложения Eufy для пользователей iOS, поскольку компания пытается исправить проблемы со своими протоколами безопасности. Для версии 4.5.1 приложения Eufy, в его примечаниях к патчу говорится, что добавлено «заявление о том, что облачная служба будет задействована, когда пользователи решат отправлять миниатюрные сообщения».
Большинство людей, владеющих продуктами Eufy, вероятно, возразят, что это утверждение должно было присутствовать с самого начала — и это правильно. Это заявление является частью лоскутного одеяла, которое Юфи была вынуждена делать с тех пор, как исследователь безопасности обнаружил и выявил несколько недостатков безопасности со своей продукцией.
Самая большая проблема здесь заключается в том, что камеры видеонаблюдения Eufy не так безопасны, как люди думали в последние несколько лет. Фактически выяснилось, что Eufy отправляла части конфиденциальных пользовательских данных, таких как их изображения и распознавание лиц, на свой облачный сервер на базе Amazon. без их разрешение.
Обновление: официальный ответ от @EufyOfficial Paraphrasing..."Вы правы, мы отправляем в облако, но оно защищено паролем, поэтому публично не видно... но мы намерены шифровать сообщения API, чтобы никто больше не узнал: «Полностью и совершенно упустил суть. pic.twitter.com/Mr08D2t60c24 ноября 2022 г.
Узнать больше
Все это было сделано с помощью push-уведомлений, которые могли быть включены пользователями, когда Eufy отправлял предупреждение с «миниатюрой» о том, что вызвало срабатывание камеры, чтобы предупредить вас. Исследователь безопасности, который подает в суд на Юфи, Пол Мур, твитнул снимки его электронных писем в компанию о том, что эти изображения в push-уведомлениях не являются простыми эскизами. Это «полноразмерные изображения с оригинальным разрешением».
Конечно, существует также риск того, что кто-то извне может получить доступ к вашей камере Eufy с нужной информацией, что Eufy еще предстоит существенно решить.
Если вы все еще рассматриваете возможность сохранения продуктов с камерами безопасности Eufy, лучше избегать этой проблемы. полностью, изменив содержимое push-уведомления только на текст, а не на «полный эффект» или «включить миниатюру» параметры. Также было бы лучше удалить любые внутренние камеры Eufy, которые могут быть у вас, поскольку существует риск (небольшой, но очевидный), что кто-то снаружи может получить доступ к вашей информации.
Однако Eufy полностью подорвала наше доверие к бренду, и Android Central больше не рекомендую его продукты.