Čo potrebuješ vedieť
- Bezpečnostný výskumník Paul Moore objavil niekoľko bezpečnostných chýb v Eufyho fotoaparátoch.
- Obrázky používateľov a údaje o rozpoznávaní tváre sa odosielajú do cloudu bez súhlasu používateľa a k živým kanálom z kamery je údajne možné pristupovať bez akéhokoľvek overenia.
- Moore hovorí, že niektoré z problémov boli odvtedy opravené, ale nemôže overiť, či sa cloudové údaje správne vymazávajú. Moore, obyvateľ Spojeného kráľovstva, podnikol právne kroky proti Eufy z dôvodu možného porušenia GDPR.
- Podpora Eufy potvrdila niektoré problémy a vydala oficiálne vyhlásenie k tejto záležitosti, v ktorom sa uvádza, že aktualizácia aplikácie ponúkne objasnený jazyk.
Aktualizácia 29. novembra, 11:32: Do Android Central bola pridaná odpoveď Paula Moora.
Aktualizácia 29. novembra, 15:30: Eufy vydal vyhlásenie vysvetľujúce, čo sa deje, ktoré je možné vidieť nižšie v časti vysvetlenia Eufy.
Aktualizácia 1. decembra, 10:20: Pridané informácie The Verge odhalili, že nešifrované streamy z kamier sú prístupné cez softvér ako VLC.
Aktualizácia 2. decembra, 9:08: Pridané najnovšie vyjadrenie od Eufy.
Videozáznamy z aktívnych kamier Eufy sú prístupné cez video softvér, ako je VLC, a to aj bez náležitého overenia.
Eufy Security je už roky hrdá na svoju mantru ochrany súkromia používateľov, a to predovšetkým tým, že videá a ďalšie relevantné údaje ukladá iba lokálne. Ale bezpečnostný výskumník to spochybňuje a cituje dôkazy, ktoré ukazujú, že niektoré kamery Eufy sú odovzdávanie fotografií, snímok na rozpoznávanie tváre a iných súkromných údajov na svoje cloudové servery bez používateľa súhlas.
A séria Tweetov Zdá sa, že od konzultanta informačnej bezpečnosti Paula Moora ukazuje duálnu kameru Eufy Doorbell, ktorá nahráva údaje rozpoznávania tváre do cloudu AWS spoločnosti Eufy bez šifrovania. Moore ukazuje, že tieto údaje sa ukladajú spolu s konkrétnym používateľským menom a ďalšími identifikovateľnými informáciami. Okrem toho Moore hovorí, že tieto údaje sa uchovávajú na serveroch Eufy založených na Amazone, aj keď boli zábery „odstránené“ z aplikácie Eufy.
Okrem toho Moore tvrdí, že videá z kamier možno streamovať cez webový prehliadač zadaním správnej adresy URL a že na prezeranie týchto videí nemusia byť prítomné žiadne overovacie informácie. The Verge odvtedy získala metódu na streamovanie nešifrovaných videí z kamier Eufy a tvrdí, že dokázala streamovať videá cez bezplatnú aplikáciu VLC bez akéhokoľvek riadneho overenia.
The Verge tiež uviedol, že nebol schopný získať prístup k tomuto videu, pokiaľ kamera už nebola prebudená, zvyčajne udalosťou detekcie pohybu a následným záznamom. Pomocou tejto metódy nie je možné náhodne prebudiť spiace kamery ani k nim pristupovať na diaľku.
Moore ukazuje dôkazy, že videá z kamier Eufy, ktoré sú šifrované pomocou šifrovania AES 128, sa robia iba pomocou jednoduchého kľúča, a nie pomocou správneho náhodného reťazca. V tomto príklade boli Mooreove videá uložené so šifrovacím kľúčom „ZXSecurity17Cam@“, teda niečo, čo by ľahko prelomil každý, kto by skutočne chcel vaše zábery.
Ktokoľvek so sériovým číslom vášho fotoaparátu by teoreticky mohol získať prístup, pokiaľ je fotoaparát prebudený.
V súčasnosti sa zdá, že adresa, ktorá sa používa na zobrazenie streamu z kamery, bola skrytá pred aplikáciou a webové rozhranie, takže pokiaľ niekto nezverejní túto adresu, nie je pravdepodobné, že tento exploit bude použitý vo voľnej prírode.
Ak by sa táto adresa mala zverejniť, na získanie záznamu je potrebné iba sériové číslo vašej kamery zakódované v Base64 podľa vyšetrovania The Verge. The Verge tiež hovorí, že zatiaľ čo adresa obsahuje časovú pečiatku Unix, ktorá by sa mala použiť na overenie, Systém Eufy v skutočnosti nerobí svoju prácu a overí čokoľvek, čo sa na jeho miesto umiestni, vrátane nezmyslov slová.
Vzhľadom na tento konkrétny dizajn, ktokoľvek so sériovým číslom vášho fotoaparátu by teoreticky mohol získať prístup, pokiaľ je fotoaparát prebudený.
Upozornenia na miniatúry Eufy nahrávajú obrázky do cloudu. Jednoduchá oprava je zakázanie miniatúr v aplikácii Eufy.
Moore bol v kontakte s podporou Eufy a potvrdzujú dôkazy, pričom citujú, že tieto nahrávania sa vyskytujú s cieľom pomôcť s upozorneniami a inými údajmi. Zdá sa, že podpora neposkytla platný dôvod, prečo sú k nim pripojené aj identifikovateľné údaje používateľa miniatúry, ktoré by mohli otvoriť obrovskú bezpečnostnú dieru pre ostatných, aby našli vaše údaje správne nástrojov.
Moore hovorí, že Eufy už opravil niektoré problémy, čo znemožňuje overenie stavu uložených cloudových údajov, a vydal nasledujúce vyhlásenie:
„Bohužiaľ (alebo našťastie, nech sa na to pozriete akokoľvek), Eufy už sieťové volanie odstránil a ostatné výrazne zašifroval, aby bolo takmer nemožné ho odhaliť; takže moje predchádzajúce PoC už nefungujú. Môžete byť schopní zavolať konkrétny koncový bod manuálne pomocou zobrazených užitočných zaťažení, ktoré môžu stále vrátiť výsledok."
Android Central diskutuje s Eufym aj Paulom Moorom a podľa vývoja situácie bude tento článok aktualizovať. V tejto chvíli možno s istotou povedať, že ak sa obávate o svoje súkromie – čo by ste rozhodne mali – nemá veľký zmysel používať fotoaparát Eufy buď vo vnútri alebo mimo vášho domova.
Eufy vydala toto aktualizované vyhlásenie 2. decembra:
„eufy Security rozhodne nesúhlasí s obvineniami vznesenými proti spoločnosti v súvislosti s bezpečnosťou našich produktov. Chápeme však, že nedávne udalosti mohli u niektorých používateľov spôsobiť obavy. Naše bezpečnostné funkcie často kontrolujeme a testujeme a podporujeme spätnú väzbu od širšieho bezpečnostného odvetvia, aby sme zaistili, že vyriešime všetky dôveryhodné bezpečnostné slabiny. Ak sa zistí dôveryhodná zraniteľnosť, podnikneme potrebné kroky na jej nápravu. Okrem toho dodržiavame všetky príslušné regulačné orgány na trhoch, kde sa predávajú naše produkty. Nakoniec odporúčame používateľom, aby sa s otázkami obrátili na náš špecializovaný tím zákazníckej podpory.“
Eufyho prvé vyhlásenie a vysvetlenie sú nižšie. Okrem toho sme zahrnuli aj originálny dôkaz koncepcie problému od Paula Moora.
Eufyho vysvetlenie
Dňa 29. novembra Eufy pre Android Central povedal, že jeho „produkty, služby a procesy sú plne v súlade s normami všeobecného nariadenia o ochrane údajov (GDPR), vrátane ISO 27701/27001 a ETSI 303645 certifikácie."
V predvolenom nastavení sú upozornenia fotoaparátu nastavené len na text a negenerujú ani neodovzdávajú žiadne miniatúry. V prípade pána Moora povolil možnosť zobrazenia miniatúr spolu s upozornením. Takto to vyzerá v aplikácii.
Eufy hovorí, že tieto miniatúry sa dočasne nahrajú na jej servery AWS a potom sa pridajú do upozornenia na zariadenie používateľa. Táto logika sa overuje, pretože oznámenia sa spracúvajú na strane servera a za normálnych okolností by iba textové oznámenie zo serverov Eufy neobsahovalo žiadny druh obrazových údajov, pokiaľ nie je uvedené inak.
Eufy hovorí, že jej postupy push notifikácií sú „v súlade so službou Apple Push Notification a Štandardy Firebase Cloud Messaging“ a automatické odstraňovanie, ale nešpecifikovali časový rámec, v ktorom by sa tak malo stať nastať.
Okrem toho Eufy hovorí, že „miniatúry využívajú šifrovanie na strane servera“ a nemali by byť viditeľné pre používateľov, ktorí nie sú prihlásení. Dôkaz konceptu pána Moora nižšie použil rovnakú reláciu inkognito webového prehliadača na načítanie miniatúr, čím využil rovnakú webovú vyrovnávaciu pamäť, s ktorou sa predtým overil.
Eufy hovorí, že „hoci naša aplikácia eufy Security umožňuje používateľom vybrať si medzi textovými alebo miniatúrnymi upozorneniami push, nebolo jasné, že výber upozornení založených na miniatúrach bude vyžadovať, aby boli náhľady obrázkov nakrátko umiestnené v oblak. Tento nedostatok komunikácie bol z našej strany omylom a úprimne sa ospravedlňujeme za našu chybu."
Eufy hovorí, že robí nasledujúce zmeny na zlepšenie komunikácie v tejto veci:
- Revidujeme jazyk možností upozornení push v aplikácii eufy Security, aby sme to jasne uviedli push notifikácie s miniatúrami vyžadujú ukážkové obrázky, ktoré budú dočasne uložené v cloude.
- V našich marketingových materiáloch pre spotrebiteľov budeme jasnejšie o používaní cloudu na upozornenia push.
Eufy ešte nereagoval na niekoľko následných otázok, ktoré poslal Android Central s otázkami o ďalších problémoch, ktoré sa nachádzajú v nižšie uvedenom dôkaze koncepcie od Paula Moora. V súčasnosti sa zdá, že bezpečnostné metódy Eufy sú chybné a pred ich opravou bude potrebné prepracovať.
Dôkaz konceptu Paula Moora
Eufy predáva dva hlavné typy kamier: kamery, ktoré sa pripájajú priamo k vašej domácej Wi-Fi sieti, a kamery, ktoré sa pripájajú iba k Eufy HomeBase prostredníctvom lokálneho bezdrôtového pripojenia.
Eufy HomeBase sú navrhnuté na lokálne ukladanie záznamov z kamery Eufy prostredníctvom pevného disku vo vnútri jednotky. Ale aj keď máte doma HomeBase, zakúpenie SoloCam alebo Doorbell, ktoré sa pripájajú priamo k Wi-Fi, uloží vaše video dáta do samotnej kamery Eufy namiesto HomeBase.
V prípade Paula Moorea používal Eufy Doorbell Dual, ktorý sa pripája priamo k Wi-Fi a obchádza HomeBase. Tu je jeho prvé video o tejto problematike, zverejnené 23. novembra 2022.
Vo videu Moore ukazuje, ako Eufy nahráva obrázok zachytený z fotoaparátu aj obrázok rozpoznávania tváre. Ďalej ukazuje, že obraz rozpoznávania tváre je uložený spolu s niekoľkými bitmi metadát, z ktorých dva ktoré zahŕňajú jeho používateľské meno (ID vlastníka), iné ID používateľa a uložené a uložené ID pre jeho tvár (AI_Face_ID).
Čo je horšie, je, že Moore používa inú kameru na spustenie udalosti pohybu a potom skúma údaje prenesené na servery Eufy v cloude AWS. Moore hovorí, že na lokálne „ukladanie“ záberov použil inú kameru, iné používateľské meno a dokonca aj inú HomeBase, no Eufy dokázal označiť a prepojiť ID tváre s jeho obrázkom.
To dokazuje, že Eufy ukladá tieto údaje o rozpoznávaní tváre vo svojom cloude a navyše je umožňuje kamerám ľahko identifikovať uložené tváre, aj keď ich nevlastnia ľudia na nich snímky. Na podporu tohto tvrdenia Moore nahral ďalšie video, ako vymazáva klipy a dokazuje, že obrázky sa stále nachádzajú na serveroch Eufyho AWS.
Okrem toho Moore hovorí, že bol schopný streamovať živé zábery zo svojej zvončekovej kamery bez akéhokoľvek autentifikáciu, ale neposkytol verejný dôkaz koncepcie z dôvodu možného zneužitia taktiky, ak by k tomu došlo byť zverejnené. Informoval priamo Eufy a odvtedy prijal právne opatrenia, aby zabezpečil, že Eufy dodržiava.
Momentálne to pre Eufy vyzerá veľmi zle. Spoločnosť už roky stojí za tým, že údaje používateľov uchováva iba lokálne a nikdy ich nenahráva do cloudu. Zatiaľ čo Eufy tiež má cloudové služby, do cloudu by sa nemali nahrávať žiadne údaje, pokiaľ to používateľ výslovne nepovolí.
Okrem toho ukladanie ID používateľov a iných osobných údajov spolu s obrázkom tváre osoby je skutočne masívnym porušením bezpečnosti. Zatiaľ čo Eufy odvtedy opravil možnosť ľahko nájsť adresy URL a ďalšie údaje odosielané do cloudu, existuje v súčasnosti neexistuje spôsob, ako overiť, či Eufy naďalej ukladá tieto údaje v cloude bez používateľa súhlas.