El que necessites saber
- L’investigador de seguretat Paul Moore ha descobert diverses fallades de seguretat a les càmeres d’Eufy.
- Les imatges d’usuari i les dades de reconeixement facial s’envien al núvol sense el consentiment de l’usuari i, suposadament, es pot accedir als canals de càmeres en directe sense cap autenticació.
- Moore diu que alguns dels problemes s’han corregit des de llavors, però no pot verificar que les dades del núvol s’estan suprimint correctament. Moore, resident al Regne Unit, ha pres accions legals contra Eufy per un possible incompliment del GDPR.
- El suport d’Eufy ha confirmat alguns dels problemes i ha emès una declaració oficial sobre el tema dient que una actualització de l’aplicació oferirà un llenguatge clar.
Actualització el 29 de novembre a les 11:32: S’ha afegit la resposta de Paul Moore a Android Central.
Actualització el 29 de novembre a les 15:30: Eufy va emetre un comunicat explicant què està passant que es pot veure a continuació a la secció d’explicacions d’Eufy.
A partir de la declaració d’Eufy a continuació, molts dels problemes que el Sr. Moore que va trobar no apareixerà mentre els usuaris no habilitin les miniatures per a les notificacions de la càmera. Són aquestes miniatures les que s’envien al núvol amb finalitats de notificació push. No s’envia cap metratge de vídeo real al núvol AWS d’Eufy.
Durant anys, Eufy Security s’enorgulleix del seu mantra de protegir la privadesa dels usuaris, principalment emmagatzemant només vídeos i altres dades rellevants localment. Però un investigador de seguretat ho posa en dubte, citant proves que mostren que algunes càmeres Eufy estan penjant fotos, imatges de reconeixement facial i altres dades privades als seus servidors al núvol sense el consentiment de l’usuari.
A sèrie de tuits (s’obre en una pestanya nova) del consultor de seguretat de la informació Paul Moore sembla mostrar una càmera dual Eufy Doorbell que carrega dades de reconeixement facial al núvol AWS d’Eufy sense xifratge. Moore mostra que aquestes dades s’emmagatzemen juntament amb un nom d’usuari específic i altra informació identificable. A més, Moore diu que aquestes dades es mantenen als servidors d’Eufy basats en Amazon, fins i tot quan les imatges s’han “suprimit” de l’aplicació Eufy.
A més, Moore al·lega que els vídeos de les càmeres es poden reproduir mitjançant un navegador web introduint l’URL correcte i que no cal que hi hagi informació d’autenticació per veure aquests vídeos. Moore mostra proves que els vídeos de les càmeres Eufy que estan xifrats amb xifratge AES 128 només es fan amb una clau senzilla en lloc d’una cadena aleatòria adequada. A l’exemple, els vídeos de Moore es van emmagatzemar amb “ZXSecurity17Cam@” com a clau de xifratge, una cosa que seria fàcilment trencada per qualsevol que volgués el vostre metratge.
Moore s’ha posat en contacte amb el suport d’Eufy i corroboren les proves, citant que aquestes càrregues es produeixen per ajudar amb les notificacions i altres dades. Sembla que l’assistència no ha proporcionat una raó vàlida per la qual també s’adjunten dades d’usuari identificables a les miniatures, cosa que podria obrir un gran forat de seguretat perquè altres puguin trobar les vostres dades amb les eines adequades.
Moore diu que Eufy ja ha corregit alguns dels problemes, cosa que fa impossible verificar l’estat de les dades del núvol emmagatzemades, i ha emès la següent declaració:
“Desafortunadament (o afortunadament, sigui com ho miris), Eufy ja ha eliminat la trucada de xarxa i n’ha xifrat molt d’altres perquè sigui gairebé impossible de detectar; així que els meus PoC anteriors ja no funcionen. És possible que pugueu trucar manualment al punt final específic. utilitzant les càrregues útils mostrades, que encara poden retornar un resultat”.
Android Central està discutint tant amb Eufy com amb Paul Moore i continuarà actualitzant aquest article a mesura que la situació es desenvolupi. Llegiu a continuació per veure la declaració i l’explicació oficials d’Eufy i més endavant si voleu obtenir més informació sobre què va fer Moore en la seva investigació sobre els possibles problemes de seguretat d’Eufy.
L’explicació d’Eufy
Eufy va dir a Android Central que els seus “productes, serveis i processos compleixen totalment els estàndards del Reglament General de Protecció de Dades (GDPR), incloses les certificacions ISO 27701/27001 i ETSI 303645”.
La certificació GDPR requereix que les empreses proporcionin proves de seguretat i gestió de dades a la UE. L’adquisició d’una certificació no és un segell de goma i necessita l’aprovació d’un òrgan de govern adequat i està regulada per l’ICO.
De manera predeterminada, les notificacions de la càmera estan configurades com a només text i no generen ni pengen cap miniatura. En el Sr. En el cas de Moore, va habilitar l’opció de mostrar miniatures juntament amb la notificació. Aquí teniu el que sembla a l’aplicació.
Eufy diu que aquestes miniatures es pengen temporalment als seus servidors AWS i després s’agrupen a la notificació al dispositiu d’un usuari. Aquesta lògica es verifica ja que les notificacions es gestionen del costat del servidor i, normalment, una notificació només de text dels servidors d’Eufy no inclouria cap tipus de dades d’imatge tret que s’especifiqui el contrari.
Eufy diu que les seves pràctiques de notificació push estan “d’acord amb els estàndards del servei de notificació push d’Apple i Firebase Cloud Messaging” i s’eliminen automàticament, però no va especificar un període de temps en què s’hauria de produir.
A més, Eufy diu que “les miniatures utilitzen el xifratge del servidor” i no haurien de ser visibles per als usuaris que no hagin iniciat sessió. Sr. La prova de concepte de Moore a continuació va utilitzar la mateixa sessió del navegador web d’incògnit per recuperar miniatures, utilitzant així la mateixa memòria cau web amb la qual es va autenticar anteriorment.
Eufy diu que “tot i que la nostra aplicació eufy Security permet als usuaris triar entre notificacions push basades en text o en miniatures, no es va deixar clar que escollir notificacions basades en miniatures requeriria que les imatges de vista prèvia s’allotgin breument al núvol. Aquesta manca de La comunicació va ser un descuit per part nostra i demanem disculpes sinceres pel nostre error”.
Eufy diu que està fent els canvis següents per millorar la comunicació sobre aquest tema:
- Estem revisant l’idioma de l’opció de notificacions push a l’aplicació eufy Security per detallar clarament que les notificacions push amb miniatures requereixen imatges de vista prèvia que s’emmagatzemaran temporalment al núvol.
- Tindrem més clar l’ús del núvol per a les notificacions push als nostres materials de màrqueting dirigits al consumidor.
He enviat a Eufy diverses preguntes de seguiment per preguntar sobre altres problemes que es troben a la prova de concepte de Paul Moore a continuació i actualitzaré l’article un cop s’hagin respost.
La demostració de concepte de Paul Moore
Eufy ven dos tipus principals de càmeres: càmeres que es connecten directament a la xarxa Wi-Fi de casa teva i càmeres que només es connecten a una Eufy HomeBase mitjançant una connexió sense fil local.
Les Eufy HomeBase estan dissenyades per emmagatzemar imatges de la càmera Eufy localment mitjançant un disc dur dins de la unitat. Però, fins i tot si teniu una HomeBase a casa, la compra d’una SoloCam o Doorbell que es connecti directament a Wi-Fi emmagatzemarà les vostres dades de vídeo a la càmera Eufy en comptes de la HomeBase.
En el cas de Paul Moore, feia servir un Eufy Doorbell Dual que es connecta directament a Wi-Fi i evita una HomeBase. Aquí teniu el seu primer vídeo sobre el tema, publicat el 23 de novembre de 2022.
Al vídeo, Moore mostra com Eufy està penjant tant la imatge capturada des de la càmera com la imatge de reconeixement facial. A més, mostra que la imatge de reconeixement facial s’emmagatzema juntament amb diversos bits de metadades, dos dels quals inclouen el seu nom d’usuari (owner_ID), un altre ID d’usuari i l’identificador desat i emmagatzemat per a la seva cara (AI_Face_ID).
El que empitjora les coses és que Moore utilitza una altra càmera per activar un esdeveniment de moviment i després examina les dades transferides als servidors d’Eufy al núvol AWS. Moore diu que va utilitzar una càmera diferent, un nom d’usuari diferent i fins i tot una HomeBase diferent per “emmagatzemar” les imatges localment, però Eufy va poder etiquetar i enllaçar la identificació facial amb la seva imatge.
Això demostra que Eufy emmagatzema aquestes dades de reconeixement facial al núvol i, a més, permet que les càmeres identifiquin fàcilment les cares emmagatzemades encara que no siguin propietat de les persones d’aquestes imatges. Per recolzar aquesta afirmació, Moore va gravar un altre vídeo d’ell eliminant els clips i demostrant que les imatges encara es troben als servidors AWS d’Eufy.
A més, Moore diu que va poder transmetre imatges en directe des de la càmera del timbre sense cap autenticació, però que no va proporcionar una prova pública de concepte a causa del possible mal ús de la tàctica si es fes pública. Ha notificat directament a Eufy i des de llavors ha pres mesures legals per garantir que Eufy compleixi.
De moment, això sembla molt dolent per a Eufy. L’empresa, durant anys, s’ha quedat enrere només mantenint les dades dels usuaris locals i mai pujant al núvol. Mentre Eufy també té serveis al núvol, no s’han de penjar dades al núvol tret que un usuari permeti específicament aquesta pràctica.
A més, emmagatzemar les identificacions d’usuari i altres dades d’identificació personal juntament amb una imatge de la cara d’una persona és una violació de seguretat massiva, de fet. Tot i que Eufy ha aplicat des de llavors la possibilitat de trobar fàcilment els URL i altres dades que s’envien al núvol, actualment no hi ha manera de verificar que Eufy segueix o no emmagatzemant aquestes dades al núvol sense el consentiment de l’usuari.