Главная страница » Исследователь обнаружил серьезные недостатки в безопасности камер Eufy
Новости Умный дом

Исследователь обнаружил серьезные недостатки в безопасности камер Eufy

В прошлом году ‘программная ошибка’ в принадлежащей Anker компании Eufy вызвала шумиху, когда несколько владельцев подключенных камер безопасности компании смогли получить доступ к прямым трансляциям и сохраненным видеозаписям с камер под маркой Eufy, принадлежащих другим людям. Теперь Eufy снова попала в подобную ситуацию. Исследователь безопасности Пол Мур недавно обнаружил несколько серьезных недостатков в устройствах Eufy — в том числе один, который может позволить людям получить доступ к незашифрованным видеозаписям с камер Eufy в реальном времени без какой-либо аутентификации

На прошлой неделе Мур обнаружил, что его Eufy Doorbell Dual — о покупке которого он упоминает, основываясь на маркетинге Eufy, ориентированном на конфиденциальность — загружает миниатюры видео и данные распознавания лиц в облако, несмотря на то, что он никогда не пользовался облачными услугами Eufy. Мур демонстрирует, что изображения, снятые его камерой, и фото профиля Eufy можно загрузить без аутентификации, перейдя по связанному URL — но Eufy утверждает, что изображения зашифрованы, и, похоже, Мур смог получить к ним доступ только потому, что ранее вошел в свой аккаунт Eufy в том же окне инкогнито Chrome

Мур также обнаружил, что отдельная камера Eufy, связанная с другим аккаунтом, смогла идентифицировать его лицо с тем же уникальным идентификатором — это означает, что Eufy не только хранит данные распознавания лиц в облаке, но и обменивается этой информацией между аккаунтами

Хуже всего то, что, по словам Мура, он смог просмотреть видеозапись с камеры в реальном времени через веб-браузер без какой-либо аутентификации, просто перейдя на нужный публичный адрес. Понятно, что Мур не предоставил доказательств этого конкретного эксплойта, но говорит, что он связывался с Eufy по этому поводу

По словам Мура, Eufy утверждает, что изображения хранятся на серверах Amazon Web Services (AWS) только до тех пор, пока пользователь не отклонит уведомление о событии в приложении безопасности Eufy, после чего изображения удаляются. В отдельном видеоролике на YouTube Мур показывает, что изображения сохраняются в течение некоторого времени после отклонения уведомлений, хотя он не смог доказать, как долго

С тех пор компания Eufy уточнила, что миниатюры загружаются в AWS только в том случае, если в уведомлениях о событиях пользователя настроены миниатюры (по умолчанию уведомления содержат только текст). Компания сообщила Android Central, что она предпримет шаги, чтобы сделать более ясным — или, действительно, вообще очевидным — что включение миниатюр в уведомления о событиях приведет к тому, что эти миниатюры будут храниться в AWS в течение некоторого времени, даже если пользователь не выбрал облачные услуги. Далее Eufy утверждает, что ее практика соответствует стандартам GDPR, а также ‘стандартам сервиса Apple Push Notification и Firebase Cloud Messaging.’

По информации Android Central, Мур говорит, что Eufy быстро решает поднятые им вопросы и что методы, которые он ранее использовал для доступа к своим данным нестандартными способами, больше не работают. Тем не менее, это вторая серьезная ошибка в системе безопасности Eufy за последние два года — не лучший пример для компании, которая публично гордится защитой конфиденциальности пользователей

Теги

Об авторе

Аватар

Геннадий Морозов

Комментировать

Оставить комментарий