Какво трябва да знаете
- Изследователят по сигурността Пол Мур откри няколко уязвимости в камерите на Eufy.
- Потребителските снимки и данните за разпознаване на лица се изпращат в облака без съгласието на потребителя, а емисиите на камерата на живо могат да бъдат достъпни без никакво удостоверяване.
- Мур казва, че някои проблеми след това са коригирани, но той не може да провери дали облачните данни са изтрити правилно. Moore, който е базиран в Обединеното кралство, е предприел правни действия срещу Eufy за възможно нарушение на Общия регламент за защита на данните (GDPR).
- Поддръжката на Eufy потвърди някои от проблемите и публикува официално изявление по въпроса, в което се посочва, че актуализацията на приложението ще въведе ясен език.
Актуализирано на 29 ноември 11:32 ч.: Red Bull Moore е добавен към Android Central.
Актуализирано на 29 ноември 15:30 ч.: Eufy публикува изявление, обясняващо какво се случва, което може да се види по-долу в раздела Обяснение на Eufy.
Въз основа на изявлението на Eufy по-долу, много от проблемите, с които се е сблъскал г-н Мур, няма да се появят, докато потребителите не активират миниатюри за известия от камерата. Тези миниатюри се изпращат в облака за целите на насоченото известяване. Няма действителни видеозаписи, изпратени до AWS облака на Eufy.
Години наред Eufy Security се гордее със своята мантра за защита на поверителността на потребителите, предимно чрез съхраняване на видеоклипове и други подходящи данни само локално. Но изследовател по сигурността оспорва това, цитирайки доказателства, които показват, че някои камери на Eufy качват снимки, изображения за разпознаване на лица и други лични данни на своите облачни сървъри без съгласието на потребителя.
а Поредицата от туитове (Отваря се в нов раздел) Консултантът по информационна сигурност Пол Мур изглежда показва двойна камера Eufy Doorbell, която качва некриптирани данни за разпознаване на лица в AWS облака на Eufy. Мур обяснява, че тези данни се съхраняват заедно с конкретно потребителско име и друга информация, която може да бъде идентифицирана. Освен това Мур казва, че тези данни се съхраняват на базираните на Amazon сървъри на Eufy дори когато моментните снимки са „изтрити“ от приложението Eufy.
Освен това Мур твърди, че видеоклиповете от камерите могат да се предават поточно чрез уеб браузър чрез въвеждане на правилния URL адрес и че не е необходима информация за удостоверяване, за да се гледат тези видеоклипове. Мур показва доказателства, че видео от камери Eufy, криптирани с AES 128, се прави само с прост ключ, а не с подходящ случаен низ. В примера видеоклиповете на Мур бяха съхранени с „@ZXSecurity17Cam“ като ключ за криптиране, нещо, което лесно може да бъде хакнато от всеки, който наистина иска вашите кадри.
Мур се свърза с екипа за поддръжка на Eufy и те потвърдиха доказателствата, заявявайки, че тези качвания помагат с известия и други данни. Изглежда, че поддръжката не е предоставила добра причина идентифицируемите потребителски данни също да бъдат прикрепени към миниатюри, което може да отвори огромна дупка в сигурността за другите да намерят вашите данни с правилните инструменти.
Мур казва, че Eufy вече е коригирал някои проблеми, които правят невъзможно проверката на състоянието на съхранените облачни данни, и е издал следното изявление:
За съжаление (или за щастие, както и да го гледате), Eufy вече е премахнал мрежовото повикване и е шифровал силно други, за да направи откриването му почти невъзможно; така че предишните PoC вече не работят. Може да успеете да се свържете с ръчно избраната крайна точка, като използвате предлагани полезни натоварвания, които все още могат да върнат резултат „.
Android Central обсъжда с Eufy и Paul Moore и ще продължи да актуализира тази статия с развитието на ситуацията. Прочетете по-долу за официалното изявление на Eufy, обяснението и повече информация, ако искате да научите повече за това какво е направил Мур в проучването си относно потенциални проблеми със сигурността за Eufy.
Eufy обясни
Eufy каза на Android Central, че „неговите продукти, услуги и операции отговарят напълно на стандартите GDPR, включително сертификати ISO 27701/27001 и ETSI 303645“.
Сертифицирането по GDPR изисква компаниите да предоставят доказателства за сигурност и управление на данните на Европейския съюз. Да бъдеш сертифициран не е гумен печат и се нуждае от одобрение от подходящ управителен орган и се регулира от ICO.
По подразбиране известията на камерата са настроени само на текст и не създават или качват миниатюри от какъвто и да е вид. В случая на г-н Мур той активира опцията за показване на миниатюри с известие. Ето как изглежда приложението.
Eufy казва, че тези миниатюри се качват временно на техните AWS сървъри и след това се обединяват в известието за машината на потребителя. Тази логика проверява, тъй като известията се обработват от страна на сървъра и обикновено известието само с текст от сървърите на Eufy не включва никакъв вид данни за изображения, освен ако не е указано друго.
Eufy казва, че неговите практики за насочено уведомяване са „съвместими със стандартите на Apple Push Notification и Firebase Cloud Messaging“ и се изтриват автоматично, но не е посочил времева рамка, в която това трябва да се случи.
Освен това Eufy казва, че „миниатюрите използват криптиране от страна на сървъра“ и не трябва да се виждат от потребители, които не са влезли. Доказателството за концепцията на г-н Мур по-долу използва същата инкогнито сесия на уеб браузър, за да извлече миниатюрите, като по този начин използва същия уеб кеш, който той преди това е валидирал.
Eufy казва, че „Въпреки че нашата реализация на eufy Security позволява на потребителите да избират между базирани на текст или базирани на миниатюри насочени известия, не е ясно, че избирането на базирани на миниатюри известия ще изисква изображения за визуализация да бъдат хоствани за кратко в облака.“ Този недостатък Комуникацията беше пропуск от наша страна и ние искрено се извиняваме за нашата грешка.“
Eufy казва, че прави следните промени, за да подобри комуникацията по този въпрос:
- Ревизираме езика на опцията за насочени известия на приложението eufy Security, за да уточним ясно, че насочените известия с миниатюри изискват визуализация на изображения, които ще бъдат кеширани в облака.
- Ще бъдем по-ясни относно използването на облака за насочени известия в нашите маркетингови материали, насочени към потребителите.
Изпратих на Eufy няколко последващи въпроса, питайки за повече проблеми в доказателството за концепцията на Paul Moore по-долу и ще актуализирам статията веднага щом им бъде отговорено.
Доказателство за концепцията на Пол Мур
Eufy продава два основни типа камери: камери, които се свързват директно към Wi-Fi мрежата на вашия дом, и камери, които се свързват само с Eufy HomeBase чрез локална безжична връзка.
Eufy HomeBase е проектиран да съхранява записа от камерата на Eufy локално чрез твърд диск вътре в устройството. Но дори и да имате HomeBase в дома си, закупуването на SoloCam или Doorbell, които се свързват директно към вашата Wi-Fi мрежа, ще съхранява вашите видео данни в самата Eufy Cam, вместо в HomeBase.
В случая на Пол Мур той използва Eufy Doorbell Dual, който се свързва директно към Wi-Fi и заобикаля HomeBase. Ето първото му видео по въпроса, публикувано на 23 ноември 2022 г.
Във видеото Мур демонстрира как Eufy качва както изображението, заснето от камерата, така и изображението за лицево разпознаване. Освен това показва, че изображението за лицево разпознаване се съхранява заедно с няколко метаданни, две от които включват неговото потребителско име (owner_ID) и ID на друг потребител, както и неговото запазено и съхранено лице ID (AI_Face_ID).
Това, което влошава нещата е, че Мур използва друга камера, за да задейства анимирано събитие, след което проверява данните, предадени на сървърите на Eufy в облака на AWS. Мур казва, че е използвал различна камера, различно потребителско име и дори различна домашна база, за да „съхрани“ кадрите локално, но Eufy е успял да разпознае и свърже Face ID с неговата снимка.
Това доказва, че Eufy съхранява тези данни за разпознаване на лица в своя облак и освен това позволява на камерите лесно да разпознават съхранените лица, въпреки че не са собственост на хората в тези снимки. За да подкрепи това твърдение, Мур записа друго видео, в което изтрива клиповете и доказва, че изображенията все още са на сървърите на Eufy AWS.
В допълнение, Мур казва, че е успял да излъчи на живо кадри от камерата на звънеца без никакво удостоверяване, но не е предоставил публично доказателство за концепцията поради потенциала за злоупотреба с тактиката, ако тя стане публична. Той уведоми Eufy директно и оттогава предприе правни действия, за да гарантира съответствието на Eufy.
Точно сега това изглежда много зле за Eufy. Компанията от години стои зад запазването на потребителските данни локални и никога не ги качва в облака. докато изпълнява също Има облачни услуги, никакви данни не трябва да се качват в облака, освен ако потребителят изрично не разреши такава практика.
Освен това съхраняването на потребителски идентификатори и други лични данни, заедно със снимка на лицето на човек, всъщност е масивен пробив в сигурността. Въпреки че оттогава Eufy коригира възможността за лесно намиране на URL адреси и други данни, изпращани към облака, в момента няма начин да се провери дали Eufy продължава да съхранява тези данни в облака без съгласието на потребителя.
„Internet trailblazer. Travelaholic. Страстен евангелист в социалните медии. Защитник на телевизията.“
More Stories
Съобщава се, че Apple работи върху 90Hz Studio Display, iMac и iPad Air
Новото музикално приложение на Nintendo е клонинг на YouTube Music
2027 Pixel Tablet ‘3’ може да има втори USB-C порт