Las cámaras de «almacenamiento local» de Eufy se pueden transmitir desde cualquier lugar, sin cifrar

Cuando los investigadores de seguridad descubrieron que las cámaras supuestamente libres de nubes de Eufy estaban subir miniaturas con datos faciales a servidores en la nubeLa respuesta de Eufy fue que se trataba de un malentendido, de no revelar un aspecto de su sistema de notificación móvil a los clientes.

Parece que hay más comprensión ahora, y eso no es bueno.

Euphy no respondió a otras afirmaciones del investigador de seguridad Paul Moore y otros, incluido que podría Transmitir transmisión desde la cámara Eufy en VLC Media Player, si tenía la URL correcta. Anoche The Verge, trabajando con el investigador de seguridad Wasabi, quien fue el primero en hacer el truco en Twitterconfirmó que podría acceda a las transmisiones de la cámara Eufy sin encriptaciónA través de la URL del servidor Eufy.

Esto hace que Eufy promesas de confidencialidad Las imágenes que «nunca salen de la seguridad de su hogar» están encriptadas de extremo a extremo y solo se envían «directamente a su teléfono», lo que es altamente engañoso, si no francamente sospechoso. También contradice al gerente senior de relaciones públicas de Anker/Eufy, quien le dijo a The Verge que «no es posible» ver imágenes a través de una herramienta de terceros como VLC.

The Verge señala algunas advertencias, similares a la miniatura basada en la nube. Básicamente, generalmente necesita un nombre de usuario y una contraseña para identificar y acceder a la URL no cifrada de la transmisión. «Por lo general», es decir, porque la URL de transmisión de la cámara parece ser un esquema relativamente simple que incluye el número de serie de la cámara en Base64, una marca de tiempo de Unix, un token que The Verge dice que no está validado por los servidores Eufy y cuatro dígitos. valor hexadecimal. Los números de serie de Eufy suelen tener 16 dígitos, pero también están impresos en algunas cajas y se pueden comprar en otros lugares.

Nos comunicamos con Eufy y Wasabi y actualizaremos esta publicación con más información. El investigador Paul Moore, quien inicialmente expresó su preocupación por el acceso a la nube de Eufy, tuiteó el 28 de noviembre que tuvo “una larga discusión [Eufy’s] departamento legal” y no hará más comentarios hasta que pueda proporcionar una actualización.

La detección de vulnerabilidades es mucho más la norma que la excepción en las industrias de seguridad para el hogar y el hogar inteligente. Un anillo, Nido, Samsung:es cámara para reuniones corporativas Owl— Si tiene una lente y se conecta a Wi-Fi, puede esperar que la falla aparezca en algún momento y los títulos sigan. La mayoría de estas fallas tienen un alcance limitado, son difíciles de explotar para una organización malintencionada y, si se identifican de manera responsable y se responde rápidamente, en última instancia, fortalecerán los dispositivos y los sistemas.

Eufy, en este caso, no es como la típica empresa de seguridad en la nube con vulnerabilidades inherentes. Un página completa de promesas de privacidadincluyendo algunos movimientos válidos y particularmente buenos, se volvieron en gran medida irrelevantes en una semana.

Se podría argumentar que cualquiera que quiera ser notificado de incidentes con la cámara de su teléfono debería esperar que se involucren algunos servidores en la nube. Puede darle a Eufy el beneficio de la duda de que los servidores en la nube a los que puede acceder con la URL correcta son solo puntos de referencia para las transmisiones que eventualmente deben abandonar la red doméstica bajo el bloqueo de la contraseña de la cuenta.

Pero debe ser especialmente doloroso para los clientes que compraron productos Eufy con el pretexto de mantener sus videos en las instalaciones, seguros y diferentes de otras empresas basadas en la nube, ver a Eufy tratar de explicarle a alguien su propia dependencia de la nube. medios tecnológicos.