Les caméras Eufy Local Storage peuvent être diffusées de n’importe où sans cryptage

Lorsque des chercheurs en sécurité ont découvert que des caméras Eufy supposées sans nuage étaient Télécharger des vignettes avec des données faciales sur des serveurs cloudLa réponse d’Eufy a été que c’était un malentendu qu’elle n’avait pas divulgué un aspect de son système de notification mobile aux clients.

Il semble qu’il y ait plus de compréhension maintenant, ce qui n’est pas bon.

Eufy n’a pas répondu aux autres allégations du chercheur en sécurité Paul Moore et d’autres, y compris celles que l’on pourrait Flux de flux depuis Eufy Camera dans VLC Media Player, si vous avez la bonne URL. Hier soir, The Verge, vous travaillez avec le chercheur en sécurité « Wasabi » qui… Le problème a été tweeté pour la première foisconfirmé qu’il peut Accès aux flux Eufy Cam, sans cryptagevia l’URL du serveur Eufy.

Cela rend Eufy Promesses de confidentialité Les photos qui « ne quittent jamais votre maison » sont cryptées de bout en bout et envoyées uniquement « directement sur votre téléphone » sont très trompeuses, voire carrément suspectes. Cela contredit également le responsable des relations publiques d’Anker / Eufy qui a déclaré à The Verge qu’il n’est « pas possible » de visionner les images avec un outil tiers comme VLC.

The Verge note quelques avertissements, similaires à ceux appliqués à une vignette hébergée dans le cloud. Généralement, vous aurez généralement besoin d’un nom d’utilisateur et d’un mot de passe pour détecter et accéder à l’URL sans cryptage à diffuser. « Habituellement », car l’URL du flux de la caméra ressemble à un schéma relativement simple qui inclut le numéro de série de la caméra en Base64, un horodatage Unix, un jeton qui, selon The Verge, n’a pas été validé par les serveurs d’Eufy et quatre chiffres hexadécimaux. Les numéros de série Eufy comportent généralement 16 chiffres, mais ils sont également imprimés sur certaines boîtes et peuvent être obtenus sur d’autres.

Nous avons contacté Eufy et Wasabi et mettrons à jour ce message avec toute information supplémentaire. Le chercheur Paul Moore, qui a d’abord fait part de ses inquiétudes concernant la portée d’Eufy dans le cloud, Tweetez le 28 novembre Il a longuement discuté avec lui [Eufy’s] Département juridique » et ne commentera pas davantage jusqu’à ce qu’il puisse fournir une mise à jour.

Trouver des vulnérabilités est plus une norme qu’une exception dans les domaines de la maison intelligente et de la sécurité domestique. clocheEt le VivreEt le SamsungLa réunion d’entreprise cam owl— S’il a un objectif et se connecte au Wi-Fi, vous pouvez vous attendre à ce qu’un défaut apparaisse à un moment donné, et les gros titres vont avec. La plupart de ces failles ont une portée limitée et sont complexes pour que l’entité malveillante puisse agir dessus, et avec une détection responsable et une réponse rapide, elles renforceront finalement le matériel et les systèmes.

Eufy, dans ce cas, ne ressemble pas à votre entreprise de sécurité cloud typique avec votre vulnérabilité typique. ce Une page pleine de promesses de confidentialitéy compris certains mouvements remarquablement corrects et bons, sont devenus largement hors de propos en une semaine.

Vous pourriez dire que quiconque souhaite être informé des pannes de caméra sur son téléphone doit s’attendre à ce que certains serveurs cloud soient impliqués. En donnant à Eufy le bénéfice du doute, les serveurs cloud auxquels vous pouvez accéder avec l’URL correcte sont simplement un point de passage pour les flux qui doivent éventuellement quitter votre réseau domestique sous le verrouillage du mot de passe du compte.

Mais cela a dû être particulièrement pénible pour les clients qui ont acheté des produits Eufy sous les auspices de stocker leurs instantanés localement, en toute sécurité et différemment de ceux d’autres sociétés basées sur le cloud, pour voir Eufy avoir du mal à expliquer sa dépendance au cloud à l’un des les plus grands organes d’information sur la technologie.