“로컬 저장소”가 있는 Eufy 카메라는 암호화되지 않은 모든 곳에서 스트리밍할 수 있습니다.
보안 연구원이 Eufy의 클라우드 없는 카메라가 클라우드 서버에 얼굴 데이터 썸네일을 업로드하고 있음을 발견했을 때 Eufy는 모바일 알림 시스템의 측면을 고객에게 공개하지 않은 오해라고 대답했습니다.
이제 더 많은 이해가있는 것 같고 이것은 좋지 않습니다.
Eufy는 올바른 URL이 있는 경우 Eufy의 카메라에서 VLC Media Player로 스트리밍 할 수 있다는 것을 포함하여 보안 연구원 Paul Moore 및 다른 사람들의 다른 주장에 응답하지 않았습니다 . 어젯밤, The Verge는 이 문제에 대해 처음 트윗한 보안 연구원인 “wasabi”와 협력하여 Eufy 서버 URL을 통해 암호화 없이 Eufy의 카메라 스트림에 액세스 할 수 있음을 확인했습니다 .
이로 인해 Eufy의 개인 정보 보호 약속은 “집안을 절대 벗어나지 않는다”, 종단 간 암호화되고 “전화로 바로 전송”되는 영상에 대해 완전히 의심스럽지는 않지만 매우 오해의 소지가 있습니다. 또한 VLC와 같은 타사 도구로 영상을 보는 것은 “불가능”하다고 The Verge에 말한 Anker/Eufy의 수석 홍보 관리자와 모순됩니다.
The Verge는 클라우드 호스팅 썸네일에 적용되는 것과 유사한 몇 가지 주의 사항에 주목합니다. 기본적으로 암호화 없이 스트림 URL을 열고 액세스하려면 일반적으로 사용자 이름과 암호가 필요합니다. “일반적으로” 즉, 카메라의 URL이 Base64의 카메라 일련 번호, Unix 타임스탬프, The Verge가 Eufy의 서버에서 확인하지 않은 토큰, 4자리 16진수 등 비교적 단순한 체계로 보이기 때문입니다. 값. Eufy 일련 번호는 일반적으로 16자리 길이이지만 일부 상자에도 인쇄되어 있으며 다른 곳에서 얻을 수 있습니다.
우리는 Eufy와 Wasabi에 연락했으며 추가 정보로 이 게시물을 업데이트할 것입니다. 처음에 Eufy의 클라우드 액세스에 대한 우려를 제기한 Paul Moore 연구원은 11월 28일 트위터에 “[Eufy] 법무 부서와 긴 논의”를 했으며 업데이트를 제공할 때까지 추가 조치에 대해 언급하지 않겠다고 밝혔습니다.
(동부 표준시 오후 5시 42분 업데이트: Ars는 Wasabi와 대화를 나눴고, Wasabi는 자신의 네트워크 외부 시스템에서 인증이나 해당 시스템의 다른 Eufy 장치 없이 Eufy 카메라 피드를 볼 수 있음을 확인했습니다. “Eufy는 사람들이 보지 못하도록 차단하려는 것 같습니다. 그들의 (웹) 앱이 실제로 문제를 해결하는 대신 보내는 데이터”라고 그들은 썼습니다.
또한 Wasabi는 원격 URL이 설정되는 방식으로 인해 시도할 수 있는 조합이 65,535개에 불과하며 “컴퓨터가 매우 빠르게 수행할 수 있는” 것이라고 언급했습니다.)
취약성 감지는 스마트 홈 및 홈 보안에서 예외가 아니라 표준입니다. Ring, Nest , Samsung, Owl의 기업 회의 카메라 – 렌즈가 있고 Wi-Fi에 연결되어 있으면 어느 시점에서 결함이 나타나 헤드라인을 장식할 수 있습니다. 이러한 결함의 대부분은 범위가 제한되어 공격자가 악용하기 어렵고 책임 있는 공개와 신속한 대응을 통해 궁극적으로 장치와 시스템을 보다 안정적으로 만들 것입니다.
이 경우 Eufy는 일반적인 취약점을 가진 일반적인 클라우드 보안 회사처럼 보이지 않습니다. 유효하고 특히 좋은 움직임을 포함하여 개인 정보 보호 약속의 전체 페이지 가 일주일 이내에 대부분 구식이 되었습니다.
휴대 전화에서 카메라 사고에 대한 알림을 받으려는 사람은 일부 클라우드 서버가 관련될 것으로 예상해야 한다고 주장할 수 있습니다. 올바른 URL로 액세스할 수 있는 클라우드 서버는 결국 계정 암호의 보호 아래 홈 네트워크를 떠나야 하는 스트림의 경유지일 뿐이라고 Eufy를 설득할 수 있습니다.
그러나 영상이 다른 클라우드 회사와 달리 로컬에 안전하게 저장된다는 구실로 Eufy 제품을 구입한 고객은 Eufy가 가장 큰 기술 뉴스 릴리스 중 하나에 대한 클라우드 의존도를 설명하는 데 어려움을 겪는 것을 보게 될 것입니다.
답글 남기기