Toen beveiligingsonderzoekers ontdekten dat Eufy-camera’s zogenaamd cloudvrij waren Upload miniaturen met gezichtsgegevens naar cloudserversHet antwoord van Eufy was dat het een misverstand was dat het een aspect van zijn mobiele meldingssysteem niet aan klanten had bekendgemaakt.
Het lijkt erop dat er nu meer begrip is, wat niet goed is.
Eufy heeft niet gereageerd op andere aantijgingen van beveiligingsonderzoeker Paul Moore en anderen, inclusief de beschuldigingen die men zou kunnen doen Stream feed van Eufy Camera in VLC Media Player, als u de juiste URL heeft. Gisteravond, The Verge, werkte je samen met de “wasabi” beveiligingsonderzoeker die Het probleem tweette eerstbevestigd dat het kan Toegang tot Eufy Cam-streams, vrij van coderingvia de Eufy-server-URL.
Dit maakt Eufy’s Privacybeloften Opnamen die “nooit uw huis verlaten” zijn end-to-end gecodeerd en alleen “rechtstreeks naar uw telefoon” verzonden, zijn erg misleidend, zo niet ronduit verdacht. Het is ook in tegenspraak met de PR-manager van Anker/Eufy, die The Verge vertelde dat het “niet mogelijk” is om de beelden te bekijken met een tool van derden, zoals VLC.
The Verge merkt enkele kanttekeningen op, vergelijkbaar met die toegepast op door de cloud gehoste miniaturen. In principe heb je normaal gesproken een gebruikersnaam en wachtwoord nodig om de coderingsvrije URL voor streaming te detecteren en te openen. “Meestal”, omdat de camerafeed-URL eruit ziet als een relatief eenvoudig schema met het serienummer van de camera in Base64, een Unix-tijdstempel, een token waarvan The Verge zegt dat het niet is gevalideerd door de servers van Eufy, en vier hexadecimale cijfers. Eufy-serienummers zijn meestal 16 cijfers lang, maar ze zijn ook op sommige dozen gedrukt en kunnen op andere worden verkregen.
We hebben contact opgenomen met Eufy en Wasabi en zullen dit bericht bijwerken met aanvullende informatie. Onderzoeker Paul Moore, die aanvankelijk zijn zorgen uitte over het cloudbereik van Eufy, Twitter op 28 november Hij had een lang gesprek met hem [Eufy’s] Juridische afdeling” en zal geen verder commentaar geven totdat het een update kan geven.
(Update, 17:42 uur ET: Ars sprak met Wasabi, die bevestigde dat ze Eufy-camerastreams van systemen buiten hun netwerk kunnen bekijken zonder ze of andere Eufy-apparaten op dat systeem te authenticeren. “Het lijkt erop dat Eufy gewoon probeert te voorkomen dat mensen de gegevens zien die hun (web) app verzendt, in plaats van het probleem daadwerkelijk op te lossen”, schreven ze.
Wasabi merkte ook op dat de manier waarop externe URL’s zijn geconfigureerd, er slechts 65.535 combinaties zijn om te proberen, “die een computer vrij snel kan uitvoeren.”)
Het opsporen van kwetsbaarheden is meer regel dan uitzondering op het gebied van huisbeveiliging en smart home. klokEn de LiveEn de SamsungDe Bedrijfsvergadering cam uil-Als het een lens heeft en verbinding maakt met wifi, kun je verwachten dat er op een gegeven moment een defect opduikt, en de krantenkoppen gaan ermee akkoord. De meeste van deze fouten zijn beperkt in reikwijdte en complex voor de kwaadwillende entiteit om op te reageren, en met verantwoorde detectie en snelle reactie zullen hardware en systemen uiteindelijk sterker worden.
Eufy ziet er in dit geval niet uit als een typisch cloudbeveiligingsbedrijf met een typische kwetsbaarheid. Dat Een pagina vol privacybeloftenwaaronder enkele opmerkelijk correcte en goede zetten, werd binnen een week grotendeels irrelevant.
Je zou kunnen stellen dat iedereen die op de hoogte wil worden gehouden van camera-crashes op zijn telefoon, moet verwachten dat er enkele cloudservers bij betrokken zijn. Door Eufy het voordeel van de twijfel te geven, zijn de cloudservers waartoe u toegang hebt met de juiste URL gewoon een waypoint voor streams die uiteindelijk uw thuisnetwerk moeten verlaten onder accountwachtwoordvergrendeling.
Maar het moet vooral pijnlijk zijn geweest voor klanten die Eufy-producten kochten onder de auspiciën van het lokaal, veilig en anders dan die van andere cloudgebaseerde bedrijven opslaan van hun snapshots om Eufy te zien worstelen om zijn afhankelijkheid van de cloud uit te leggen aan een van de grootste technische nieuwsuitzendingen.
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
