Ne bilmek istiyorsun
- Güvenlik araştırmacısı Paul Moore, Eufy'nin kameralarında birkaç güvenlik açığı keşfetti.
- Kullanıcı görüntüleri ve yüz tanıma verileri, kullanıcının izni olmadan buluta gönderiliyor ve iddiaya göre canlı kamera yayınlarına herhangi bir kimlik doğrulaması olmadan erişilebiliyor.
- Moore, o zamandan beri bazı sorunların düzeltildiğini ancak bulut verilerinin düzgün bir şekilde silindiğini doğrulayamadığını söylüyor. Birleşik Krallık'ta ikamet eden Moore, olası bir GDPR ihlali nedeniyle Eufy'ye karşı yasal işlem başlattı.
- Eufy desteği bazı sorunları doğruladı ve konuyla ilgili resmi bir açıklama yaparak uygulama güncellemesinin netleştirilmiş bir dil sunacağını söyledi.
Güncelleme 29 Kasım 11:32: Paul Moore'un Android Central'a yanıtı eklendi.
Güncelleme 29 Kasım 15:30: Eufy, aşağıda Eufy'nin açıklama bölümünde görülebilecek olan neler olduğunu açıklayan bir açıklama yaptı.
Güncelleme 1 Aralık 10:20: Eklenen bilgiler Verge, şifrelenmemiş kamera akışlarına VLC gibi bir yazılım aracılığıyla erişilebileceğini doğrulayarak ortaya çıkardı.
Güncelleme 2 Aralık 09:08: Eufy'den son açıklama eklendi.
Aktif Eufy kameralarından alınan video görüntülerine, uygun kimlik doğrulaması olmadan bile VLC gibi video yazılımları aracılığıyla erişilebilir.
Eufy Security yıllardır, öncelikle yalnızca videoları ve diğer ilgili verileri yerel olarak depolayarak kullanıcı gizliliğini koruma ilkesiyle gurur duymuştur. Ancak bir güvenlik araştırmacısı, bazı Eufy kameralarının fotoğrafları, yüz tanıma görüntülerini ve diğer özel verileri kullanıcı olmadan bulut sunucularına yüklemek onay.
A tweet dizisi bilgi güvenliği danışmanı Paul Moore, yüz tanıma verilerini Eufy'nin AWS bulutuna şifreleme olmadan yükleyen bir Eufy Doorbell Dual kamera gösteriyor gibi görünüyor. Moore, bu verilerin belirli bir kullanıcı adı ve diğer tanımlanabilir bilgilerle birlikte saklandığını gösteriyor. Buna ek olarak Moore, görüntüler Eufy uygulamasından "silinmiş" olsa bile bu verilerin Eufy'nin Amazon tabanlı sunucularında tutulduğunu söylüyor.
Ayrıca Moore, kameralardan alınan videoların doğru URL girilerek bir web tarayıcısı aracılığıyla izlenebileceğini ve söz konusu videoları görüntülemek için herhangi bir kimlik doğrulama bilgisinin bulunması gerekmediğini iddia ediyor. Sınır o zamandan beri Eufy kameralarından şifrelenmemiş videoları yayınlama yöntemini elde etti ve videoları herhangi bir uygun kimlik doğrulaması olmadan ücretsiz VLC uygulaması aracılığıyla yayınlayabildiğini söyledi.
Verge ayrıca, genellikle bir hareket algılama olayı ve ardından gelen kayıt nedeniyle kamera zaten uyandırılmadığı sürece bu videoya erişemeyeceğini söyledi. Uyuyan kameralar, bu yöntem kullanılarak rastgele uyandırılamaz veya uzaktan erişilemez.
Moore, AES 128 şifrelemesiyle şifrelenen Eufy kameralarından gelen videoların uygun bir rasgele dizi yerine yalnızca basit bir anahtarla yapıldığına dair kanıtlar gösteriyor. Örnekte, Moore'un videoları şifreleme anahtarı olarak "ZXSecurity17Cam@" ile saklanıyordu; bu, çekimlerinizi gerçekten isteyen herkes tarafından kolayca kırılabilecek bir şeydi.
Kameranızın seri numarasına sahip olan herkes, kamera uyanık olduğu sürece teorik olarak erişim sağlayabilir.
Şu anda, bir kameranın akışını görüntülemek için kullanılan adresin artık uygulamadan gizlendiği ve web arayüzü, bu nedenle, birisi bu adresi herkese açık yapmazsa, bu istismarın vahşi ortamda kullanılması pek olası değildir.
The Verge'in araştırmasına göre, bu adresin halka açıklanması halinde, giriş elde etmek için yalnızca kameranızın Base64'te kodlanmış seri numarası gerekir. Verge ayrıca, adresin doğrulama için kullanılması gereken bir Unix zaman damgası içermesine rağmen, Eufy'nin sistemi aslında işini yapmıyor ve saçmalıklar da dahil olmak üzere yerine konulan her şeyi doğrulayacak. kelimeler.
Bu özel tasarım göz önüne alındığında, kameranızın seri numarasına sahip olan herkes kamera uyanık olduğu sürece teorik olarak erişim sağlayabilir.
Eufy'nin küçük resim bildirimleri, görüntüleri buluta yüklüyor. Basit düzeltme, Eufy uygulamasında küçük resimleri devre dışı bırakmaktır.
Moore, Eufy desteğiyle temas halindeydi ve bu yüklemelerin bildirimlere ve diğer verilere yardımcı olmak için yapıldığını öne sürerek kanıtları doğruluyorlar. Destek, tanımlanabilir kullanıcı verilerinin neden eklendiğine dair geçerli bir neden sağlamıyor gibi görünüyor. başkalarının verilerinizi doğru şekilde bulması için büyük bir güvenlik açığı açabilecek küçük resimler aletler.
Moore, Eufy'nin depolanan bulut verilerinin durumunu doğrulamayı imkansız hale getiren bazı sorunları zaten düzelttiğini ve aşağıdaki açıklamayı yayınladığını söylüyor:
"Ne yazık ki (ya da neyse ki, nasıl bakarsanız bakın), Eufy ağ aramasını çoktan kaldırdı ve diğerlerini algılamayı neredeyse imkansız hale getirmek için yoğun bir şekilde şifreledi; bu yüzden önceki PoC'lerim artık çalışmıyor. Gösterilen yükleri kullanarak belirli uç noktayı manuel olarak arayabilirsiniz, bu da yine de bir sonuç verebilir."
Android Central, hem Eufy hem de Paul Moore ile görüşüyor ve durum geliştikçe bu makaleyi güncellemeye devam edecek. Bu noktada, mahremiyetinizle ilgileniyorsanız - ki kesinlikle öyle olmalısınız - bir Eufy kamera kullanmanın pek mantıklı olmadığını söylemek güvenlidir. ya içeride veya evinizin dışında.
Eufy, 2 Aralık'ta bu güncellenmiş bildiriyi yayınladı:
"eufy Security, ürünlerimizin güvenliğiyle ilgili olarak şirkete yöneltilen suçlamalara kesinlikle katılmamaktadır. Ancak, son olayların bazı kullanıcılar için endişe yaratmış olabileceğini anlıyoruz. Güvenlik özelliklerimizi sık sık gözden geçirip test ediyoruz ve tüm güvenilir güvenlik açıklarını ele aldığımızdan emin olmak için daha geniş güvenlik endüstrisinden gelen geri bildirimleri teşvik ediyoruz. Güvenilir bir güvenlik açığı tespit edilirse, bunu düzeltmek için gerekli önlemleri alırız. Ayrıca, ürünlerimizin satıldığı pazarlardaki tüm uygun düzenleyici kurumlara uyarız. Son olarak, kullanıcıları soruları için özel müşteri destek ekibimizle iletişime geçmeye teşvik ediyoruz."
Eufy'nin ilk açıklaması ve açıklaması aşağıda. Bunun ötesinde, Paul Moore'un konuyla ilgili orijinal kavram kanıtını da dahil ettik.
Eufy'nin açıklaması
29 Kasım'da Eufy, Android Central'a "ürünlerinin, hizmetlerinin ve süreçlerinin tamamen uyumlu olduğunu" söyledi. ISO 27701/27001 ve ETSI 303645 dahil olmak üzere Genel Veri Koruma Yönetmeliği (GDPR) standartları ile sertifikalar."
Varsayılan olarak, kamera bildirimleri salt metin olarak ayarlanmıştır ve herhangi bir küçük resim oluşturmaz veya yüklemez. Bay Moore'un durumunda, bildirimle birlikte küçük resimleri görüntüleme seçeneğini etkinleştirdi. İşte uygulamada nasıl göründüğü.
Eufy, bu küçük resimlerin geçici olarak AWS sunucularına yüklendiğini ve ardından bir kullanıcının cihazına gönderilen bildirimde paketlendiğini söylüyor. Bildirimler sunucu tarafında işlendiğinden ve normalde Eufy'nin sunucularından gelen salt metin bildirimi, aksi belirtilmedikçe herhangi bir görüntü verisi içermediğinden bu mantık kontrol eder.
Eufy, push bildirim uygulamalarının "Apple Push Notification hizmetiyle uyumlu olduğunu ve Firebase Bulut Mesajlaşma standartları" ve otomatik silme, ancak bunun olması gereken bir zaman aralığı belirtmedi meydana gelmek.
Ayrıca Eufy, "küçük resimlerin sunucu tarafı şifreleme kullandığını" ve oturum açmamış kullanıcılar tarafından görülmemesi gerektiğini söylüyor. Bay Moore'un aşağıdaki kavram kanıtı, küçük resimleri almak için aynı gizli web tarayıcısı oturumunu kullandı ve böylece daha önce kimliğini doğruladığı aynı web önbelleğini kullandı.
Eufy, "eufy Security uygulamamız kullanıcıların metin tabanlı veya küçük resim tabanlı push bildirimleri arasında seçim yapmasına izin verse de, Küçük resim tabanlı bildirimleri seçmenin, önizleme görüntülerinin kısaca bulut. Bu iletişim eksikliği bizim açımızdan bir ihmaldi ve hatamız için içtenlikle özür dileriz."
Eufy, bu konudaki iletişimi geliştirmek için aşağıdaki değişiklikleri yaptığını söylüyor:
- eufy Security uygulamasındaki push bildirimleri seçenek dilini açıkça detaylandırmak için revize ediyoruz. Küçük resimler içeren push bildirimleri, geçici olarak bulutta saklanacak önizleme görüntüleri gerektirir.
- Tüketiciye yönelik pazarlama malzemelerimizde anlık bildirimler için bulut kullanımı konusunda daha net olacağız.
Eufy, Android Central'ın Paul Moore'un aşağıdaki kavram kanıtlamasında bulunan ek sorunlar hakkında gönderdiği birkaç takip sorusuna henüz yanıt vermedi. Şu anda, Eufy'nin güvenlik yöntemlerinin kusurlu olduğu ve düzeltilmeden önce yeniden mühendislik gerektireceği anlaşılıyor.
Paul Moore'un kavram kanıtı
Eufy iki ana kamera türü satar: doğrudan evinizin Wi-Fi ağına bağlanan kameralar ve yerel kablosuz bağlantı üzerinden yalnızca bir Eufy HomeBase'e bağlanan kameralar.
Eufy HomeBase'ler, Eufy kamera görüntülerini ünite içindeki bir sabit sürücü aracılığıyla yerel olarak depolamak için tasarlanmıştır. Ancak evinizde bir HomeBase olsa bile, doğrudan Wi-Fi'ye bağlanan bir SoloCam veya Doorbell satın aldığınızda video verilerinizi HomeBase yerine Eufy kameranın kendisinde depolar.
Paul Moore'un durumunda, doğrudan Wi-Fi'ye bağlanan ve bir HomeBase'i atlayan bir Eufy Doorbell Dual kullanıyordu. İşte konuyla ilgili ilk videosu 23 Kasım 2022'de yayınlandı.
Videoda Moore, Eufy'nin hem kameradan alınan görüntüyü hem de yüz tanıma görüntüsünü nasıl yüklediğini gösteriyor. Ayrıca, yüz tanıma görüntüsünün birkaç meta veri parçasıyla birlikte depolandığını gösterir; kullanıcı adını (sahip_kimliği), başka bir kullanıcı kimliğini ve yüzü için kaydedilen ve saklanan kimliği içerir (AI_Face_ID).
Daha da kötüsü, Moore'un bir hareket olayını tetiklemek için başka bir kamera kullanması ve ardından Eufy'nin AWS bulutundaki sunucularına aktarılan verileri incelemesidir. Moore, görüntüleri yerel olarak "depolamak" için farklı bir kamera, farklı bir kullanıcı adı ve hatta farklı bir HomeBase kullandığını, ancak Eufy'nin yüz kimliğini etiketleyip resmine bağlayabildiğini söylüyor.
Bu, Eufy'nin bu yüz tanıma verilerini kendi bulutunda sakladığını ve bunun da ötesinde, kameraların, bu konumlardaki kişilere ait olmasalar bile depolanan yüzleri kolayca tanımlamasına olanak tanır. Görüntüler. Bu iddiayı desteklemek için Moore, klipleri sildiği ve görüntülerin hala Eufy'nin AWS sunucularında bulunduğunu kanıtladığı başka bir video kaydetti.
Ek olarak Moore, kapı zili kamerasından canlı görüntüleri herhangi bir sorun olmadan yayınlayabildiğini söylüyor. kimlik doğrulama, ancak taktiğin olası kötüye kullanımı nedeniyle genel kavram kanıtı sağlamadı. halka duyurulacak. Eufy'yi doğrudan bilgilendirdi ve o zamandan beri Eufy'nin uymasını sağlamak için yasal önlemler aldı.
Şu anda, bu Eufy için çok kötü görünüyor. Şirket, yıllardır yalnızca kullanıcı verilerini yerel tutmanın ve hiçbir zaman buluta yükleme yapmamanın arkasında durdu. Eufy iken Ayrıca bulut hizmetlerine sahipse, kullanıcı özellikle böyle bir uygulamaya izin vermedikçe buluta hiçbir veri yüklenmemelidir.
Ayrıca, kullanıcı kimliklerini ve diğer kişisel olarak tanımlanabilir verileri bir kişinin yüzünün resmiyle birlikte saklamak gerçekten de büyük bir güvenlik ihlalidir. Eufy o zamandan beri buluta gönderilen URL'leri ve diğer verileri kolayca bulma becerisine yama eklemiş olsa da, şu anda Eufy'nin bu verileri kullanıcı olmadan bulutta depolamaya devam edip etmediğini doğrulamanın bir yolu yok onay.