Eufy-kameraer med “lokal lagring” kan streame fra hvor som helst ukrypteret.

Da sikkerhedsforskere opdagede, at Eufys angiveligt skyfrie kameraer uploadede ansigtsdata-thumbnails til cloud-servere, svarede Eufy, at det var en misforståelse, og undlod at afsløre et aspekt af dets mobile notifikationssystem til kunderne.

Det ser ud til, at der nu er mere forståelse, og det er ikke godt.

Eufy har ikke reageret på andre påstande fra sikkerhedsforsker Paul Moore og andre, herunder at det ville være muligt at streame fra Eufys kamera til VLC Media Player, hvis du havde den korrekte URL. I aftes bekræftede The Verge, i samarbejde med sikkerhedsforsker “wasabi”, som først tweetede om problemet , at den kunne få adgang til Eufys kamerastreams uden kryptering via Eufy-serverens URL.

Dette gør Eufys løfter om privatlivets fred om optagelser, der “aldrig forlader sikkerheden i dit hjem”, ende-til-ende krypteret og kun sendt “direkte til din telefon” meget vildledende, hvis ikke direkte tvivlsomme. Det modsiger også Anker/Eufys senior PR-chef, som fortalte The Verge, at det er “umuligt” at se optagelserne med et tredjepartsværktøj som VLC.

The Verge bemærker nogle advarsler, der ligner dem, der anvendes på sky-hostede miniaturebilleder. Grundlæggende har du generelt brug for et brugernavn og en adgangskode for at åbne og få adgang til stream-URL’en uden kryptering. “Normalt”, det vil sige, fordi kameraets URL ser ud til at være et relativt simpelt skema, inklusive kameraets serienummer i Base64, et Unix-tidsstempel, et token, som The Verge siger, ikke er verificeret af Eufys servere, og en firecifret hexadecimal værdi. Eufy serienumre er normalt 16 cifre lange, men de er også trykt på nogle æsker og kan fås andre steder.

Vi har kontaktet Eufy og Wasabi og vil opdatere dette indlæg med yderligere information. Forsker Paul Moore, der oprindeligt rejste bekymringer om Eufys cloud-adgang, tweetede den 28. november, at han havde “en længere diskussion med [Eufys] juridiske afdeling” og ikke ville kommentere yderligere handlinger, før han gav en opdatering.

(Opdatering 17:42 ET: Ars talte med Wasabi, som bekræftede, at han kan se Eufy-kamerafeeds fra systemer uden for sit netværk uden godkendelse eller andre Eufy-enheder på det system. “Eufy ser ud til at forsøge bare at blokere folk fra at se. data, som deres (web)app sender i stedet for rent faktisk at løse problemet,” skrev de.

Wasabi bemærkede også, at på grund af den måde, fjern-URL’erne er sat op, er der kun 65.535 kombinationer, der kan prøves, “hvilket en computer kan gøre ret hurtigt.”)

Sårbarhedsdetektion er normen snarere end undtagelsen inden for smart hjem og hjemmesikkerhed. Ring, Nest , Samsung, Owl’s corporate mødekamera – hvis det har en linse og opretter forbindelse til Wi-Fi, kan du forvente, at en fejl dukker op på et tidspunkt og overskrifter med den. De fleste af disse fejl er begrænset i omfang, vanskelige for en hacker at udnytte, og med ansvarlig afsløring og hurtig reaktion vil de i sidste ende gøre enheder og systemer mere pålidelige.

I dette tilfælde ligner Eufy ikke et typisk cloud-sikkerhedsfirma med en typisk sårbarhed. En hel side med løfter om privatlivets fred , inklusive nogle gyldige og især gode tiltag, blev stort set forældet inden for en uge.

Du kan argumentere for, at enhver, der ønsker at blive underrettet om kamerahændelser på deres telefon, skal forvente, at nogle cloud-servere er involveret. Du kan overbevise Eufy om, at de cloud-servere, du kan få adgang til med den korrekte URL, blot er et waypoint for streams, der til sidst skal forlade hjemmenetværket under beskyttelse af kontoadgangskoden.

Men det må være særligt smertefuldt for kunder, der har købt Eufy-produkter under påskud af, at deres optagelser er gemt lokalt, sikkert og i modsætning til andre cloud-virksomheder, kun at se Eufy kæmpe for at forklare sin cloud-afhængighed til en af ​​de største tekniske nyhedsudgivelser.