Камеры домашней безопасности за последние годы значительно улучшились, но безопасность ваших видеозаписей всегда вызывала беспокойство. Бренд Anker Eufy утверждает, что данные хранятся локально, однако исследователь безопасности обнаружил, что это заявление далеко от истины, поскольку видео не только отправляется в облако, но и остается доступным даже после удаления.
Eufy продает несколько своих камер безопасности с обещанием, что видеозаписи и другие данные хранятся только локально, причем на своем веб-сайте они прямо заявляют: «кроме вас, никто не имеет доступа к вашим данным» .
Пол Мур, исследователь безопасности, на прошлой неделе опубликовал в Твиттере пугающую ситуацию с безопасностью продуктов Eufy для дома, включая видеодомофоны с камерами. В ветке обсуждения и сопровождающих видео Мур демонстрирует доказательства того, что камеры Eufy отправляют в облако данные, которые должны храниться локально, даже когда облачное хранилище отключено.
Уязвимость безопасности была впервые обнаружена в камере Eufy Doorbell Dual, которая использует две камеры для просмотра людей, подходящих к вашей двери, а также площадки перед дверью, где могут оставляться посылки.
Камера видеодомофона загружала данные распознавания лиц с камеры на облачные серверы Eufy с прикрепленной идентифицирующей информацией, и эта информация фактически не удалялась с серверов Eufy после удаления соответствующих видеозаписей из приложения Eufy. В видео ниже Мур также отмечает, что Eufy использовала данные распознавания лиц с двух разных камер, связанных с двумя совершенно разными учетными записями, для сопоставления данных с каждой из них, и указывает, что Eufy никогда не уведомляет пользователя о происходящем — наоборот, маркетинг компании подразумевает прямо противоположное.
Неясно, сколько домашних камер и продуктов Eufy затронуто этим. Android Central смог воспроизвести те же проблемы безопасности на камере EufyCam 3, подключенной к Eufy HomeBase 3.
Возможно, еще более пугающим стало то, что другой пользователь обнаружил, что эти потоки видео Eufy доступны через незашифрованные соединения. Просто используя популярный медиаплеер VLC, пользователь смог получить доступ к потоку с камеры, а Пол Мур подтвердил (хотя и не показывая, как это работает), что к потокам можно получить доступ без какого-либо шифрования или аутентификации.
Обновление 01.12.: The Verge далее подтвердил существование уязвимости VLC. Менеджер по связям с общественностью Anker уверенно заявил: «Я могу подтвердить, что невозможно начать потоковую передачу и смотреть видео в реальном времени с помощью стороннего проигрывателя, такого как VLC», в то время как The Verge смог сделать именно это.
Издание отмечает, что изначально им требовалась аутентификация для доступа к деталям потока, но затем информация работала без дополнительной аутентификации. Они смогли транслировать видео до тех пор, пока камера была активна, то есть когда она записывала клип после обнаружения движения или когда владелец просматривал ее в прямом эфире. Также отмечается, что URL-адрес, предоставляющий доступ к этим потокам, включает временную метку Unix, случайный токен, который нигде не проверяется, случайный четырехзначный шестнадцатеричный код, который может быть «легко взломан путем перебора», и информацию, основанную на серийном номере вашей камеры.
Пол Мур, исследователь, который первым осветил эту проблему, также сообщил изданию, что он начал юридические действия против Anker.
Eufy еще не отреагировали на эти заявления публично, но доказательства на данный момент довольно убедительны, и это огромный провал в безопасности в дополнение к прямым обманам клиентов. Мур получил электронное письмо от Eufy, в котором компания пыталась объяснить показанное поведение, хотя Мур считает, что большая часть ответа компании заключалась в преуменьшении серьезности проблемы.
Мур предложил вчера обновление ситуации, заявив, что Eufy удалила «фоновый вызов», который отображает сохраненные изображения, но не исходные видеозаписи, и что компания также зашифровала другие вызовы, чтобы скрыть свои следы.
Мнение 9to5Google
Ужас.