Les càmeres d'”emmagatzematge local” d’Eufy es poden reproduir des de qualsevol lloc, sense xifrar

Les càmeres d'”emmagatzematge local” d’Eufy es poden reproduir des de qualsevol lloc, sense xifrar
Càmera de seguretat Eufy
Ampliar / Les imatges de la càmera d’Eufy s’emmagatzemen localment, però amb l’URL adequat, també les podeu veure des de qualsevol lloc, sense xifrar. És complicat.

Quan els investigadors de seguretat van trobar que les càmeres suposadament lliures de núvols d’Eufy estaven penjant miniatures amb dades facials als servidors del núvol, la resposta d’Eufy va ser que va ser un malentès, un fracàs per revelar un aspecte del seu sistema de notificació mòbil als clients.

Sembla que ara hi ha més comprensió i no és bo.

Eufy no va respondre a altres afirmacions de l’investigador de seguretat Paul Moore i d’altres, inclosa la que podria reprodueix el feed des d’una càmera Eufy al VLC Media Player, si teníeu l’URL correcte. Ahir a la nit, The Verge, treballant amb l’investigador de seguretat “wasabi” que primer va tuitejar el problemava confirmar que podria accedir als fluxos de la càmera Eufy, sense xifratge, a través d’un URL del servidor Eufy.

Això fa que les promeses de privadesa d’Eufy d’imatges que “mai surten de la seguretat de la vostra llar”, estiguin xifrades d’extrem a extrem i només s’enviïn “directament al vostre telèfon” molt enganyoses, si no del tot dubtoses. També contradiu un director sènior de relacions públiques d’Anker/Eufy que va dir a The Verge que “no és possible” veure imatges amb una eina de tercers com VLC.

The Verge assenyala algunes advertències, similars a les que s’apliquen a la miniatura allotjada al núvol. Principalment, normalment necessitareu un nom d’usuari i una contrasenya per revelar i accedir a l’URL sense xifratge d’un flux. “Típicament”, és a dir, perquè l’URL de l’alimentació de la càmera sembla ser un esquema relativament senzill que implica el número de sèrie de la càmera a Base64, una marca de temps Unix, un testimoni que The Verge diu que no està validat pels servidors d’Eufy i un nombre de quatre dígits. valor hexadecimal. Els números de sèrie d’Eufy solen tenir 16 dígits, però també estan impresos en algunes caixes i es poden obtenir en altres llocs.

Ens hem posat en contacte amb Eufy i wasabi i actualitzarem aquesta publicació amb més informació. L’investigador Paul Moore, que inicialment va plantejar preocupacions amb l’accés al núvol d’Eufy, va tuitejar el 28 de novembre amb què va tenir “una llarga discussió [Eufy’s] departament jurídic” i no comentaria més fins que no pogués proporcionar una actualització.

Actualització, 5:42 p.m. oriental: Ars va xatejar amb wasabi, que va confirmar que van poder veure els fluxos de càmeres Eufy des de sistemes fora de la seva xarxa, sense autenticació ni altres dispositius Eufy en aquest sistema. “Sembla que Eufy està intentant simplement bloquejar la gent perquè vegi les dades que envia la seva aplicació (web) en lloc de solucionar el problema”, van escriure.

Wasabi també va assenyalar que la manera com es configuren els URL remots, només hi ha 65.535 combinacions per provar, “que un ordinador pot executar amb força rapidesa”. La història original segueix.

El descobriment de vulnerabilitats és molt més una norma que una excepció en els camps de la llar intel·ligent i la seguretat domèstica. Ring, Nest, Samsung, la càmera de reunions corporatives Owl: si té una lent i es connecta a Wi-Fi, podeu esperar que aparegui un defecte en algun moment i els titulars s’acompanyen. La majoria d’aquests defectes tenen un abast limitat, són complicats per a una entitat maliciosa per actuar i, amb una divulgació responsable i una resposta ràpida, en última instància, faran que els dispositius i sistemes siguin més forts.

Eufy, en aquest cas, no sembla la típica empresa de seguretat al núvol amb una vulnerabilitat típica. Una pàgina sencera de promeses de privadesa, incloent alguns moviments vàlids i notablement bons, s’ha convertit en gairebé irrellevant en una setmana.

Podríeu argumentar que qualsevol persona que vulgui rebre una notificació dels incidents de càmera al seu telèfon hauria d’esperar que hi participin alguns servidors al núvol. Podeu donar a Eufy el benefici del dubte, que els servidors del núvol als quals podeu accedir amb l’URL correcte són simplement un punt d’interès per als fluxos que han de sortir de la xarxa domèstica amb un bloqueig de contrasenya del compte.

Però ha de ser especialment dolorós per als clients que van comprar els productes d’Eufy sota els auspicis de tenir les seves imatges emmagatzemades localment, de manera segura i diferent d’aquelles altres empreses basades en núvol només per veure que Eufy lluita per explicar la seva pròpia dependència al núvol a una de les més grans. mitjans de notícies tecnològics.

Leave a Comment