Eufy-camera’s met “lokale opslag” kunnen overal onversleuteld streamen.
Toen beveiligingsonderzoekers ontdekten dat de zogenaamd wolkenloze camera’s van Eufy miniaturen van gezichtsgegevens uploadden naar cloudservers, antwoordde Eufy dat het een misverstand was, omdat ze een aspect van haar mobiele meldingssysteem niet aan klanten bekendmaakte.
Het lijkt erop dat er nu meer begrip is, en dit is niet goed.
Eufy heeft niet gereageerd op andere beweringen van beveiligingsonderzoeker Paul Moore en anderen, waaronder dat het mogelijk zou zijn om van de camera van Eufy naar VLC Media Player te streamen als je de juiste URL had. Gisteravond bevestigde The Verge, in samenwerking met beveiligingsonderzoeker “wasabi”, die voor het eerst over het probleem tweette , dat het toegang kon krijgen tot Eufy’s camerastreams zonder codering via de Eufy-server-URL.
Dit maakt Eufy’s privacybeloften van beeldmateriaal dat “nooit de veiligheid van uw huis verlaat”, end-to-end gecodeerd en alleen “rechtstreeks naar uw telefoon” verzonden, hoogst misleidend, zo niet ronduit dubieus. Het is ook in tegenspraak met de senior PR-manager van Anker/Eufy, die The Verge vertelde dat het “onmogelijk” is om de beelden te bekijken met een tool van derden, zoals VLC.
The Verge merkt enkele kanttekeningen op die vergelijkbaar zijn met die welke worden toegepast op door de cloud gehoste miniaturen. Kortom, u hebt over het algemeen een gebruikersnaam en wachtwoord nodig om de stream-URL zonder codering te openen en te openen. “Meestal”, dat wil zeggen, omdat de URL van de camera een relatief eenvoudig schema lijkt te zijn, inclusief het serienummer van de camera in Base64, een Unix-tijdstempel, een token waarvan The Verge zegt dat het niet wordt geverifieerd door de servers van Eufy, en een viercijferige hex waarde. Eufy-serienummers zijn meestal 16 cijfers lang, maar ze staan ook op sommige dozen gedrukt en zijn elders verkrijgbaar.
We hebben contact opgenomen met Eufy en Wasabi en zullen dit bericht bijwerken met aanvullende informatie. Onderzoeker Paul Moore, die aanvankelijk zijn zorgen uitte over de toegang tot de cloud van Eufy, tweette op 28 november dat hij “een langdurig gesprek had met [Eufy’s] juridische afdeling” en geen commentaar zou geven op verdere actie totdat hij een update gaf.
(Update 17:42 uur ET: Ars sprak met Wasabi, die bevestigde dat hij Eufy-camerafeeds van systemen buiten zijn netwerk kan bekijken zonder authenticatie of andere Eufy-apparaten op dat systeem. “Eufy lijkt te proberen mensen gewoon te blokkeren. data die hun (web)app verstuurt in plaats van het probleem daadwerkelijk op te lossen”, schreven ze.
Wasabi merkte ook op dat vanwege de manier waarop de externe URL’s zijn ingesteld, er slechts 65.535 combinaties kunnen worden geprobeerd, “wat een computer vrij snel kan doen.”)
Kwetsbaarheidsdetectie is eerder de norm dan de uitzondering in smart home en home security. Ring, Nest , Samsung, de camera voor zakelijke vergaderingen van Owl – als hij een lens heeft en verbinding maakt met wifi, kun je verwachten dat er op een gegeven moment een fout opduikt en daarmee de krantenkoppen haalt. De meeste van deze gebreken zijn beperkt in reikwijdte, moeilijk te exploiteren door een aanvaller, en met verantwoorde openbaarmaking en snelle reactie zullen ze apparaten en systemen uiteindelijk betrouwbaarder maken.
In dit geval ziet Eufy er niet uit als een typisch cloudbeveiligingsbedrijf met een typische kwetsbaarheid. Een hele pagina met privacybeloften , inclusief enkele geldige en vooral goede zetten, was binnen een week grotendeels achterhaald.
Je kunt stellen dat iedereen die op zijn telefoon op de hoogte wil worden gehouden van camera-incidenten, moet verwachten dat er enkele cloudservers bij betrokken zijn. U kunt Eufy ervan overtuigen dat de cloudservers waartoe u toegang hebt met de juiste URL slechts een waypoint zijn voor streams die uiteindelijk het thuisnetwerk moeten verlaten onder de bescherming van het accountwachtwoord.
Maar het moet vooral pijnlijk zijn voor klanten die Eufy-producten hebben gekocht onder het voorwendsel dat hun beeldmateriaal lokaal, veilig en in tegenstelling tot andere cloudbedrijven is opgeslagen, alleen om te zien dat Eufy moeite heeft om zijn cloudafhankelijkheid uit te leggen aan een van de grootste technische persberichten.
Geef een reactie