Les caméras Eufy avec « stockage local » peuvent diffuser de n’importe où sans chiffrement.
Lorsque les chercheurs en sécurité ont découvert que les caméras supposément sans nuage d’Eufy téléchargeaient des vignettes de données faciales sur des serveurs cloud, Eufy a répondu qu’il s’agissait d’un malentendu, omettant de divulguer aux clients un aspect de son système de notification mobile.
Il semble que maintenant il y ait plus de compréhension, et ce n’est pas bon.
Eufy n’a pas répondu aux autres affirmations du chercheur en sécurité Paul Moore et d’autres, notamment qu’il serait possible de diffuser de la caméra d’Eufy vers VLC Media Player si vous aviez la bonne URL. Hier soir, The Verge, en collaboration avec le chercheur en sécurité « wasabi » qui a d’abord tweeté sur le problème , a confirmé qu’il pouvait accéder aux flux de caméras d’Eufy sans cryptage via l’URL du serveur Eufy.
Cela rend les promesses de confidentialité d’Eufy de séquences qui « ne quittent jamais la sécurité de votre maison », cryptées de bout en bout et envoyées uniquement « directement sur votre téléphone » très trompeuses, voire carrément douteuses. Cela contredit également le responsable principal des relations publiques d’Anker / Eufy, qui a déclaré à The Verge qu’il était « impossible » de regarder les images avec un outil tiers comme VLC.
The Verge note certaines mises en garde similaires à celles appliquées aux vignettes hébergées dans le cloud. Fondamentalement, vous aurez généralement besoin d’un nom d’utilisateur et d’un mot de passe pour ouvrir et accéder à l’URL du flux sans cryptage. « Habituellement », c’est-à-dire parce que l’URL de la caméra semble être un schéma relativement simple, comprenant le numéro de série de la caméra en Base64, un horodatage Unix, un jeton qui, selon The Verge, n’est pas vérifié par les serveurs d’Eufy et un hexagone à quatre chiffres. valeur. Les numéros de série Eufy comportent généralement 16 chiffres, mais ils sont également imprimés sur certaines boîtes et peuvent être obtenus ailleurs.
Nous avons contacté Eufy et Wasabi et mettrons à jour ce message avec toute information supplémentaire. Le chercheur Paul Moore, qui a initialement fait part de ses inquiétudes concernant l’accès au cloud d’Eufy, a tweeté le 28 novembre qu’il avait eu « une longue discussion avec le service juridique [d’Eufy] » et qu’il ne commenterait pas d’autres actions jusqu’à ce qu’il fournisse une mise à jour.
(Mise à jour à 17 h 42 HE : Ars a parlé à Wasabi, qui a confirmé qu’il pouvait voir les flux de caméras Eufy à partir de systèmes extérieurs à son réseau sans authentification ou d’autres appareils Eufy sur ce système. « Eufy semble essayer d’empêcher les gens de regarder. données que leur application (web) envoie au lieu de résoudre réellement le problème », ont-ils écrit.
Wasabi a également noté qu’en raison de la configuration des URL distantes, seules 65 535 combinaisons peuvent être essayées, « ce qu’un ordinateur peut faire assez rapidement ».)
La détection des vulnérabilités est la norme plutôt que l’exception dans la maison intelligente et la sécurité domestique. Ring, Nest , Samsung, la caméra de réunion d’entreprise d’Owl – si elle a un objectif et se connecte au Wi-Fi, vous pouvez vous attendre à ce qu’un défaut apparaisse à un moment donné et fasse la une des journaux avec. La plupart de ces failles ont une portée limitée, sont difficiles à exploiter pour un attaquant et, avec une divulgation responsable et une réponse rapide, elles finiront par rendre les appareils et les systèmes plus fiables.
Dans ce cas, Eufy ne ressemble pas à une entreprise de sécurité cloud typique avec une vulnérabilité typique. Une page entière de promesses de confidentialité , y compris certaines mesures valables et particulièrement bonnes, est devenue largement obsolète en une semaine.
Vous pouvez affirmer que quiconque souhaite être informé des incidents liés à la caméra sur son téléphone doit s’attendre à ce que certains serveurs cloud soient impliqués. Vous pouvez convaincre Eufy que les serveurs cloud auxquels vous pouvez accéder avec la bonne URL ne sont qu’un point de passage pour les flux qui doivent éventuellement quitter le réseau domestique sous la protection du mot de passe du compte.
Mais cela doit être particulièrement douloureux pour les clients qui ont acheté des produits Eufy sous prétexte que leurs images sont stockées localement, en toute sécurité et contrairement à d’autres entreprises de cloud, pour voir Eufy avoir du mal à expliquer sa dépendance au cloud à l’un des plus grands communiqués de presse techniques.
Laisser un commentaire