Οι κάμερες Eufy ανέβασαν μη κρυπτογραφημένα πλάνα στο Cloud

0
Οι κάμερες Eufy ανέβασαν μη κρυπτογραφημένα πλάνα στο Cloud

Μια φωτογραφία της Eufy SoloCam σε μια στέγη

Η Eufy SoloCam E40.
φωτογραφία: Florence Ion / Gizmodo

Eufy, η εταιρεία πίσω από μια σειρά από οικονομικές κάμερες ασφαλείας Το είχα προτείνει παλαιότερα πάνω από τα ακριβά πράγματα, αυτή τη στιγμή βρίσκεται σε λίγο ζεστό νερό για τις πρακτικές ασφαλείας του. Η εταιρεία, που ανήκει στην Anker, ισχυρίζεται ότι τα προϊόντα της είναι μία από τις λίγες συσκευές ασφαλείας που επιτρέπουν τοπικά αποθηκευμένα μέσα και δεν χρειάζονται λογαριασμό cloud για να λειτουργούν αποτελεσματικά. Αλλά κατά τη διάρκεια των διακοπών που τρώγονται γαλοπούλες, ένας διάσημος ερευνητής ασφαλείας πέρα ​​από τη λίμνη ανακαλύφθηκε μια τρύπα ασφαλείας στην εφαρμογή του Eufy για κινητά που απειλεί όλη αυτή την υπόθεση.

Ο Paul Moore μετέφερε το θέμα σε α ανέβασε στο Twitter screengrab. Ο Moore αγόρασε τη διπλή κάμερα Eufy Doorbell για την υπόσχεσή της για επιλογή τοπικής αποθήκευσης, μόνο για να ανακαλύψει ότι οι κάμερες του κουδουνιού της πόρτας αποθήκευαν μικρογραφίες προσώπων στο cloud, μαζί με αναγνωρίσιμες πληροφορίες χρήστη, παρόλο που ο Moore δεν είχε καν λογαριασμό Eufy Cloud Storage .

Αφού ο Μουρ δημοσίευσε τα ευρήματα στο Twitter, άλλο χρήστη διαπίστωσε ότι τα δεδομένα που ανέβηκαν στο Eufy δεν ήταν καν κρυπτογραφημένα. Οποιαδήποτε μεταφορτωμένα κλιπ θα μπορούσαν εύκολα να αναπαραχθούν σε οποιοδήποτε πρόγραμμα αναπαραγωγής πολυμέσων επιφάνειας εργασίας, το οποίο ο Μουρ αργότερα αποδείχθηκε. Επιπλέον: οι μικρογραφίες και τα κλιπ συνδέθηκαν με τις κάμερες συνεργατών τους, προσφέροντας πρόσθετες αναγνωρίσιμες πληροφορίες σε όλους τους ψηφιακούς snoopers που μυρίζουν γύρω τους.

Android Central μπόρεσε να δημιουργήσει ξανά το ζήτημα μόνος του με μια EufyCam 3. Στη συνέχεια επικοινώνησε με τον Eufy, ο οποίος εξήγησε στον ιστότοπο γιατί εμφανιζόταν αυτό το ζήτημα. Εάν επιλέξετε να προωθήσετε μια ειδοποίηση κίνησης με μια συνημμένη μικρογραφία, το Eufy ανεβάζει προσωρινά αυτό το αρχείο στους διακομιστές του AWS για να το στείλει. Ο Μουρ είχε ενεργοποιήσει την επιλογή χειροκίνητα, με τον τρόπο που τελικά ανακαλύφθηκε το ελάττωμα ασφαλείας. Από προεπιλογή, οι ειδοποιήσεις κάμερας της εφαρμογής Eufy είναι μόνο κειμένου και δεν έχουν το ίδιο πρόβλημα, καθώς δεν υπάρχει τίποτα για μεταφόρτωση.

Αν και η Eufy λέει ότι οι πρακτικές της συμμορφώνονται με τους όρους χρήσης της υπηρεσίας Push Notification Service της Apple και τα πρότυπα του Firebase Cloud Message της Google, έκτοτε έχει επιδιορθώσει ορισμένα από τα ζητήματα που ανακάλυψε ο Moore. Η εταιρεία είπε στο Android Central ότι θα έκανε τα εξής για να ενημερώσει τους χρήστες της σχετικά με τον τρόπο αποθήκευσης δεδομένων:

1. Αναθεωρούμε τη γλώσσα της επιλογής ειδοποιήσεων push στην εφαρμογή eufy Security για να διευκρινίσουμε με σαφήνεια ότι οι ειδοποιήσεις push με μικρογραφίες απαιτούν προεπισκόπηση εικόνων που θα αποθηκευτούν προσωρινά στο cloud.

2. Θα είμαστε πιο σαφείς σχετικά με τη χρήση του cloud για ειδοποιήσεις push στο υλικό μάρκετινγκ που απευθύνεται στους καταναλωτές.

Δυστυχώς, αυτή δεν είναι η πρώτη φορά που ο Eufy έχει πρόβλημα σχετικά με την ασφάλεια στις κάμερές του. Πέρυσι, η εταιρεία αντιμετώπισε παρόμοιες αναφορές για «αδικαιολόγητη πρόσβαση» σε τυχαίες ροές κάμερας, αν και η εταιρεία διόρθωσε γρήγορα το πρόβλημα μόλις ανακαλύφθηκε. Ο Ευφύ δεν είναι ξένος στο να μπαλώνει τα πράγματα.

παρόμοιες αναρτήσεις

Leave a Reply