Камерите за локално съхранение на Eufy могат да се предават поточно от всяко място без криптиране

Увеличавам / Записите от камерата на Eufy се съхраняват локално, но с правилния URL адрес можете също да ги гледате отвсякъде без криптиране. Сложно е.

Когато изследователите по сигурността откриха, че уж безоблачните камери Eufy са Качете миниатюри с лицеви данни в облачни сървъриОтговорът на Eufy беше, че е било недоразумение, че не е успял да разкрие аспект от своята мобилна система за уведомяване на клиентите.

Като че ли вече има повече разбиране, което не е добре.

Eufy не е отговорил на други обвинения от изследователя по сигурността Пол Мур и други, включително тези, че може Поточно предаване от Eufy Camera във VLC Media Player, ако имате правилния URL адрес. Снощи, The Verge, вие работите с изследователя по сигурността “Wasabi”, който… Проблемът първо туитнапотвърди, че може Достъп до Eufy Cam потоци, без криптиранечрез URL адреса на сървъра на Eufy.

Това прави Eufy’s Обещания за поверителност Снимки, които „никога не напускат дома ви“ са криптирани от край до край и се изпращат само „директно на вашия телефон“ са много подвеждащи, ако не и направо подозрителни. Това също противоречи на PR мениджъра на Anker/Eufy, който каза на The Verge, че „не е възможно“ да гледате кадрите с инструмент на трета страна като VLC.

The Verge отбелязва някои предупреждения, подобни на тези, приложени към миниатюри, хоствани в облак. По принцип обикновено ще ви трябва потребителско име и парола, за да откриете и получите достъп до URL адреса без криптиране за стрийминг. „Обикновено“, защото URL адресът на камерата изглежда като сравнително проста схема, която включва серийния номер на камерата в Base64, Unix timestamp, токен, който The Verge казва, че не е валидиран от сървърите на Eufy, и четири цифри с шестнадесетична стойност. Серийните номера на Eufy обикновено са дълги 16 цифри, но те също са отпечатани на някои кутии и могат да бъдат получени в други.

Свързахме се с Eufy и Wasabi и ще актуализираме тази публикация с допълнителна информация. Изследователят Пол Мур, който първоначално изрази опасения относно обхвата на облака на Eufy, Tweet на 28 ноември Той имаше дълга дискусия с него [Eufy’s] Правен отдел” и няма да коментира повече, докато не предостави актуализация.

Откриването на уязвимости е по-скоро норма, отколкото изключение в областите на домашната сигурност и интелигентния дом. звънецИ на На живоИ на SamsungThe Фирмена среща камера бухал— Ако има обектив и се свързва с Wi-Fi, можете да очаквате дефект да изскочи в даден момент и заглавията да вървят заедно с него. Повечето от тези недостатъци са ограничени по обхват и сложни за действията на злонамерения субект и с отговорно откриване и бърз отговор в крайна сметка ще направят хардуера и системите по-силни.

Eufy, в този случай, не изглежда като вашата типична компания за сигурност в облака с вашата типична уязвимост. че Страница, пълна с обещания за поверителноствключително някои забележително правилни и добри ходове, станаха до голяма степен неуместни в рамките на една седмица.

Може да възразите, че всеки, който иска да бъде уведомен за сривове на камерата на телефона си, трябва да очаква някои облачни сървъри да бъдат включени. Давайки на Eufy предимството на съмнението, облачните сървъри, до които можете да получите достъп с правилния URL адрес, са просто точка за потоци, които в крайна сметка трябва да напуснат вашата домашна мрежа при заключване с парола на акаунта.

Но трябва да е било особено болезнено за клиентите, които са закупили продукти на Eufy под егидата на съхраняване на техните моментни снимки локално, сигурно и различно от тези на други компании, базирани на облак, само за да видят как Eufy се бори да обясни зависимостта си от облака на един от най-големите технологични новинарски издания.