Kiedy badacze bezpieczeństwa odkryli, że rzekomo wolne od chmury kamery Eufy były Przesyłaj miniatury z danymi twarzy na serwery w chmurzeEufy odpowiedział, że nieporozumieniem było to, że nie ujawnił klientom aspektu swojego mobilnego systemu powiadomień.
Wydaje się, że teraz jest więcej zrozumienia, co nie jest dobre.
Eufy nie odpowiedziała na inne zarzuty badacza bezpieczeństwa Paula Moore’a i innych, w tym na te, które mogłyby Przesyłaj strumieniowo obraz z kamery Eufy w VLC Media Player, jeśli masz poprawny adres URL. Ostatniej nocy, The Verge, pracujesz z badaczem bezpieczeństwa „Wasabi”, który… Problem pojawił się jako pierwszy na Twitterzepotwierdził, że może Dostęp do strumieni Eufy Cam, bez szyfrowaniaza pośrednictwem adresu URL serwera Eufy.
To sprawia, że Eufy’s Obietnice prywatności Zdjęcia, które „nigdy nie opuszczają Twojego domu”, są szyfrowane od końca do końca i wysyłane tylko „bezpośrednio na Twój telefon” są bardzo mylące, jeśli nie wręcz podejrzane. Jest to również sprzeczne z menedżerem PR Ankera / Eufy’ego, który powiedział The Verge, że „nie jest możliwe” oglądanie materiału za pomocą narzędzia innej firmy, takiego jak VLC.
The Verge zauważa pewne zastrzeżenia, podobne do tych, które stosuje się do miniatur hostowanych w chmurze. Zasadniczo będziesz potrzebować nazwy użytkownika i hasła, aby wykryć i uzyskać dostęp do niezaszyfrowanego adresu URL do przesyłania strumieniowego. „Zwykle”, ponieważ adres URL do kanału kamery wygląda na stosunkowo prosty schemat, który zawiera numer seryjny kamery w Base64, znacznik czasu Unix, token, który według The Verge nie został zweryfikowany przez serwery Eufy, oraz cztery cyfry wartości szesnastkowej . Numery seryjne Eufy mają zwykle 16 cyfr, ale są również drukowane na niektórych pudełkach i można je uzyskać w innych.
Skontaktowaliśmy się z Eufy i Wasabi i zaktualizujemy ten post o wszelkie dodatkowe informacje. Badacz Paul Moore, który początkowo wyraził obawy dotyczące zasięgu chmury Eufy, Tweetnij 28 listopada Odbył z nim długą dyskusję [Eufy’s] Dział Prawny” i nie będzie dalej komentować, dopóki nie przedstawi aktualizacji.
Wykrywanie luk w zabezpieczeniach to raczej norma niż wyjątek w obszarach bezpieczeństwa domowego i inteligentnego domu. dzwoni Relacja na żywoi SAMSUNG, Spotkanie firmy cam sowa— Jeśli ma obiektyw i łączy się z Wi-Fi, możesz spodziewać się, że w pewnym momencie pojawi się usterka, a nagłówki będą się z nią zgadzać. Większość z tych luk ma ograniczony zakres i jest złożona, aby złośliwa jednostka mogła podjąć działania, a odpowiedzialne wykrywanie i szybka reakcja ostatecznie wzmocnią sprzęt i systemy.
W tym przypadku Eufy nie wygląda jak typowa firma zajmująca się bezpieczeństwem w chmurze z typową luką w zabezpieczeniach. że Strona pełna obietnic dotyczących prywatnościwłączając w to kilka niezwykle poprawnych i dobrych ruchów, w ciągu tygodnia stały się w dużej mierze nieistotne.
Można argumentować, że każdy, kto chce być powiadamiany o awariach aparatu w swoim telefonie, powinien spodziewać się, że w grę wchodzą niektóre serwery w chmurze. Dając Eufy korzyść z wątpliwości, serwery w chmurze, do których można uzyskać dostęp za pomocą prawidłowego adresu URL, są po prostu punktem orientacyjnym dla strumieni, które ostatecznie muszą opuścić Twoją sieć domową z blokadą hasła do konta.
Ale to musiało być szczególnie bolesne dla klientów, którzy kupili produkty Eufy pod auspicjami przechowywania ich migawek lokalnie, bezpiecznie i inaczej niż w przypadku innych firm opartych na chmurze, aby zobaczyć, jak Eufy zmaga się z wyjaśnieniem swojej zależności od chmury jednemu z największych serwisów informacyjnych z branży technologicznej.