Popularne kamery marki Eufy firmy Anker wydają się wysyłać niektóre dane do chmury, nawet gdy pamięć masowa w chmurze jest wyłączona i włączone są tylko lokalne ustawienia pamięci masowej. Informacje pochodzą od konsultanta ds. bezpieczeństwa Paula Moore’a, który w zeszłym tygodniu opublikował film przedstawiający ten problem.
Moore demonstruje nieautoryzowane przesyłanie do chmury, umożliwiając aparatowi przechwytywanie obrazu i wyłączanie bazy głównej Eufy. Witryna nadal ma dostęp do treści poprzez integrację z chmurą, chociaż nie zarejestrował się w usłudze w chmurze i pozostaje dostępna nawet wtedy, gdy materiał zostanie usunięty z aplikacji Eufy. Ważne jest, aby pamiętać, że Eufy nie wydaje się automatycznie przesyłać pełnego strumieniowego przesyłania wideo do chmury, ale raczej przyjmuje przechwytywanie wideo jako miniatury.
Miniatury są używane w aplikacji Eufy do aktywacji strumieniowego przesyłania wideo ze stacji bazowej Eufy, umożliwiając użytkownikom Eufy oglądanie filmów poza domem, a także do wysyłania bogatych powiadomień. Problem polega na tym, że miniatury są automatycznie przesyłane do chmury, nawet jeśli funkcjonalność chmury nie jest aktywna, a Eufy wydaje się również używać rozpoznawania twarzy podczas przesyłania. Niektórzy użytkownicy mieli problem z nieautoryzowanym przesyłaniem do chmury, ponieważ Eufy reklamuje usługę tylko lokalną i jest popularny wśród tych, którzy chcą bardziej prywatnego rozwiązania aparatu. “Bez chmur i kosztów”, czytamy na stronie Eufy.
Inni użytkownicy Eufy odpowiedzieli na tweeta Moore’a i zobaczyli, że dzieje się to samo. Moore przetestował kamerę dzwonkową Eufy, ale wydaje się również, że tak działają inne kamery Eufy. Jak pokazuje Moore, dostęp do obrazów można uzyskać za pomocą prostych adresów URL po zalogowaniu, co stanowi potencjalne zagrożenie dla bezpieczeństwa dla zainteresowanych. Eufy usunął wywołanie w tle, które ujawnia zapisane obrazy po tweecie Moore’a, ale nie usunął materiału filmowego.
Moore otrzymał odpowiedź od Eufy, w której Eufy potwierdził, że przesyła listy zdarzeń i miniatury do AWS, ale powiedział, że dane nie są w stanie “wyciekać publicznie”, ponieważ adres URL jest ograniczony, ograniczony czasowo i wymaga logowania do konta.
Jest też jeszcze jeden problem, który Moore podkreślił, sugerując, że strumienie kamer Eufy można oglądać na żywo za pomocą aplikacji takiej jak VLC, ale w tej chwili dostępnych jest niewiele informacji na temat exploita. Moore powiedział, że nieszyfrowana zawartość kamery Eufy jest dostępna bez uwierzytelniania, co jest niepokojące dla użytkowników Eufy.
Należy mieć tylko nadzieję, że Anker szybko zareaguje na te rewelacje i w niedługim czasie używanie ich kamer znów będzie bezpieczne.
macpretorians
Źródło: MacRumors
