As câmeras Eufy de “armazenamento local” podem ser transmitidas de qualquer lugar, sem criptografia

Prolongar / As imagens da câmera de Eufy são armazenadas localmente, mas com o URL correto, você também pode visualizá-las de qualquer lugar, sem criptografia. É complicado.

Quando os pesquisadores de segurança descobriram que as câmeras supostamente sem nuvem da Eufy estavam fazer upload de miniaturas com dados faciais para servidores em nuvemA resposta de Eufy foi que foi um mal-entendido não divulgar um aspecto de seu sistema de notificação móvel aos clientes.

Parece que há mais compreensão agora, e isso não é bom.

Eufy não respondeu a outras reivindicações do pesquisador de segurança Paul Moore e outros, incluindo que alguém poderia transmitir fluxo de uma câmera eufy no VLC Media Player, se tivesse o URL correto. Ontem à noite, The Verge, trabalhando com o pesquisador de segurança “wasabi” que tuitou o problema pela primeira vezconfirmou que ele poderia acessar fluxos de câmera eufy, sem criptografiaatravés de um URL do servidor Eufy.

Isso torna Eufy promessas de privacidade de imagens que “nunca saem da segurança de sua casa”, são criptografadas de ponta a ponta e enviadas apenas “diretamente para o seu telefone” altamente enganosas, se não totalmente duvidosas. Também contradiz um gerente sênior de relações públicas da Anker/Eufy, que disse ao The Verge que a visualização de imagens usando uma ferramenta de terceiros como o VLC “não é possível”.

The Verge aponta algumas ressalvas, semelhantes às aplicadas à miniatura hospedada na nuvem. Principalmente, você normalmente precisaria de um nome de usuário e senha para revelar e acessar o URL não criptografado de um stream. “Normalmente”, isto é, porque o URL do feed da câmera parece ser um esquema relativamente simples envolvendo o número de série Base64 da câmera, um registro de data e hora Unix, um token de que o The Verge não é validado pelos servidores eufy e um número de quatro dígitos . valor hexadecimal. Os números de série do Eufy geralmente têm 16 dígitos, mas também são impressos em algumas caixas e podem ser obtidos em outro lugar.

Entramos em contato com eufy e wasabi e atualizaremos este post com mais informações. O pesquisador Paul Moore, que inicialmente levantou preocupações sobre o acesso à nuvem da Eufy, tuitou em 28 de novembro que ele teve “uma longa discussão com [Eufy’s] departamento jurídico” e não faria mais comentários até que eu pudesse fornecer uma atualização.

(Atualização, 17h42 ET: Ars falou com wasabi, que confirmou que podia ver fluxos de câmeras Eufy de sistemas fora de sua rede sem autenticação ou outros dispositivos Eufy naquele sistema. “Parece que a Eufy está tentando simplesmente impedir que as pessoas vejam os dados que seu aplicativo (da web) envia, em vez de corrigir o problema”, escreveram eles.

Wasabi também observou que, da maneira como as URLs remotas são configuradas, existem apenas 65.535 combinações para tentar, “que um computador pode executar muito rápido”).

A descoberta de vulnerabilidades é muito mais a norma do que a exceção nos campos de casa inteligente e segurança residencial. Anel, Ninho, Samsunga câmera para reuniões corporativas Owl– se você tiver uma lente e se conectar ao Wi-Fi, pode esperar que uma falha apareça em algum momento e as manchetes a acompanhem. A maioria dessas falhas é limitada em escopo, difícil para uma entidade maliciosa agir e, com divulgação responsável e resposta rápida, acabará por fortalecer dispositivos e sistemas.

A Eufy, neste caso, não se parece com sua típica empresa de segurança em nuvem com uma vulnerabilidade típica. UMA página de todas as promessas de privacidadeincluindo alguns movimentos válidos e notavelmente bons, tornou-se amplamente irrelevante em uma semana.

Pode-se argumentar que qualquer pessoa que queira ser notificada sobre incidentes de câmera em seu telefone deve esperar que alguns servidores de nuvem estejam envolvidos. Você pode dar ao Eufy o benefício da dúvida de que os servidores em nuvem que você pode acessar com o URL correto são apenas um ponto de referência para fluxos que devem eventualmente deixar a rede doméstica sob um bloqueio de senha da conta.

Mas deve ser particularmente doloroso para os clientes que compraram os produtos da Eufy sob os auspícios de ter suas imagens armazenadas localmente, com segurança e, ao contrário de outras empresas baseadas em nuvem, apenas para ver a Eufy lutar para explicar sua própria dependência da nuvem para um dos maiores . mídia de notícias de tecnologia.

You May Also Like

About the Author: Gabriela Cerqueira

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *