Anker’s Eufy nous a menti sur la sécurité de ses caméras de sécurité

Anker s’est bâti une remarquable réputation de qualité au cours de la dernière décennie, faisant de son activité de chargeur de téléphone un empire couvrant toutes sortes d’appareils électroniques portables, y compris les caméras de sécurité domestique Eufy que nous avons recommandées au fil des ans. celui d’Eufy engagement envers la vie privée est remarquable : il promet que vos données seront stockées localement, qu’elles « ne quittent jamais la sécurité de votre maison », que ses images ne sont transmises qu’avec un cryptage de niveau militaire « de bout en bout » et qu’elles n’enverront que cela des images « directement sur votre téléphone ».

Vous pouvez donc imaginer notre surprise d’apprendre que vous pouvez diffuser de la vidéo à partir d’une caméra Eufy, de l’autre côté du pays, sans aucun cryptage.

Pire encore, on ne sait pas encore à quel point cela pourrait être répandu – car au lieu de l’aborder de front, la société a faussement prétendu Le bord que ce n’était même pas possible.

Le jour de Thanksgiving, le consultant infosec Paul Moore et un hacker qui se fait appeler Wasabi tous deux allégués que les caméras Eufy d’Anker peuvent diffuser sans cryptage via le cloud – simplement en se connectant à une adresse unique sur les serveurs cloud d’Eufy avec le lecteur multimédia VLC gratuit.

Lorsque nous avons demandé à Anker de confirmer ou d’infirmer cela, la société l’a catégoriquement nié. « Je peux confirmer qu’il n’est pas possible de démarrer un flux et de regarder des séquences en direct à l’aide d’un lecteur tiers tel que VLC », m’a dit Brett White, responsable principal des relations publiques chez Anker, par e-mail.

Mais Le bord peut maintenant confirmer que ce n’est pas vrai. Cette semaine, nous avons regardé à plusieurs reprises des images en direct de deux de nos propres caméras Eufy utilisant ce même lecteur multimédia VLC, de partout aux États-Unis – prouvant qu’Anker a un moyen de contourner le cryptage et d’accéder à ces caméras soi-disant sécurisées via le cloud.

Il y a de bonnes nouvelles : il n’y a pas encore de preuve que cela a été exploité dans la nature, et la façon dont nous avons initialement obtenu l’adresse nécessitait de se connecter avec un nom d’utilisateur et un mot de passe avant que le site Web d’Eufy ne crache le flux sans cryptage. (Nous ne partageons pas la technique exacte ici.)

De plus, il semble que cela ne fonctionne que sur les caméras qui sont éveillées. Nous avons dû attendre que notre caméra à projecteur détecte une voiture qui passait ou que son propriétaire appuie sur un bouton avant que le flux VLC ne prenne vie.

Mais cela empire également : les meilleures pratiques d’Eufy semblent être si médiocres que les mauvais acteurs pourraient être en mesure de déterminer l’adresse du flux d’une caméra – car cette adresse consiste en grande partie en le numéro de série de votre caméra encodé en Base64, quelque chose que vous pouvez facilement inverser avec une simple calculatrice en ligne.

L’adresse comprend également un horodatage Unix que vous pouvez facilement créer, un jeton que les serveurs d’Eufy ne semblent pas réellement valider (nous avons changé notre jeton en « potato arbitraire » et cela a toujours fonctionné), et un hexagone aléatoire à quatre chiffres dont 65 536 combinaisons pourrait facilement être brutalement forcé.

« Ce n’est certainement pas ainsi qu’il devrait être conçu », a déclaré l’ingénieur en vulnérabilité de Mandiant, Jacob Thompson. raconte Le bord. D’une part, les numéros de série ne changent pas, donc un mauvais acteur pourrait donner ou vendre ou faire don d’une caméra à Goodwill et continuer à regarder tranquillement les flux. Mais aussi, il souligne que les entreprises n’ont pas tendance à garder secrets leurs numéros de série. Certains les collent directement sur la boîte qu’ils vendent chez Best Buy – oui, y compris Eufy.

Du côté positif, les numéros de série d’Eufy sont longs à 16 caractères et ne sont pas seulement un nombre croissant. « Vous ne pourrez pas simplement deviner les identifiants et commencer à les frapper », déclare Dillon Franke, consultant de Mandiant Red Team, qualifiant cela de « grâce salvatrice » possible de cette divulgation. « Cela ne sonne pas aussi mal que si c’était UserID 1000, alors vous essayez 1001, 1002, 1003. »

Ça pourrait être pire. Lorsque le chercheur en sécurité de Georgia Tech et Ph.D. Le candidat Omar Alrawi étudiait les mauvaises pratiques de la maison intelligente en 2018, il a vu certains appareils se substituer leur propre adresse MAC pour la sécurité – même si une adresse MAC ne comporte que douze caractères, et vous pouvez généralement comprendre les six premiers caractères simplement en sachant quelle entreprise a fabriqué un gadget, explique-t-il.

Mais nous ne savons pas non plus comment ces numéros de série pourraient fuir, ou si Eufy pourrait même les fournir involontairement à quiconque le demande. « Parfois, il existe des API qui renverront certaines de ces informations d’identification uniques », explique Franke. « Le numéro de série devient maintenant essentiel pour garder le secret, et je ne pense pas qu’ils le traiteraient de cette façon. »

Thompson se demande également s’il existe d’autres vecteurs d’attaque potentiels maintenant que nous savons que les caméras d’Eufy ne sont pas entièrement cryptées : « Si l’architecture est telle qu’ils peuvent ordonner à la caméra de commencer à diffuser à tout moment, toute personne disposant d’un accès administrateur a la possibilité d’accéder l’infrastructure informatique et regardez votre caméra », prévient-il. C’est loin de l’affirmation d’Anker selon laquelle les images sont « envoyées directement sur votre téléphone et vous seul avez la clé ».

Soit dit en passant, il existe d’autres signes inquiétants indiquant que les pratiques de sécurité d’Anker sont peut-être beaucoup, beaucoup plus mauvaises qu’elles ne le laissent entendre. Toute cette saga a commencé lorsque le consultant infosec Moore commencé à tweeter des accusations qu’Eufy avait violé d’autres promesses de sécurité, y compris le téléchargement d’images miniatures (y compris des visages) sur le cloud sans autorisation et ne pas supprimer les données privées stockées. Anker aurait admis le premier, mais appelait ça un malentendu.

Plus inquiétant si c’est vrai, il prétend aussi que la clé de cryptage d’Eufy pour ses séquences vidéo est littéralement juste la chaîne de texte en clair « ZXSecurity17Cam@ ». Cette phrase apparaît également dans un dépôt GitHub de 2019aussi.

Anker n’a pas répondu Le bordLa question simple oui ou non de savoir si « ZXSecurity17Cam@ » est la clé de cryptage.

Nous n’avons pas non plus pu obtenir plus de détails de Moore; il a dit Le bord il ne peut pas commenter davantage maintenant qu’il a entamé des poursuites judiciaires contre Anker.

Maintenant qu’Anker a été pris dans de gros mensonges, il va être difficile de faire confiance à tout ce que l’entreprise dira ensuite – mais pour certains, il peut être important de savoir quelles caméras se comportent et ne se comportent pas de cette façon, si quelque chose sera changé, et quand. Lorsque Wyze avait une vulnérabilité vaguement similaire, il l’a balayée sous le tapis pendant trois ans; avec un peu de chance, Anker fera beaucoup, beaucoup mieux.

Certains ne sont peut-être plus disposés à attendre ou à faire confiance. « Si je tombais sur cette nouvelle et que j’avais cette caméra chez moi, je l’éteindrais immédiatement et je ne l’utiliserais pas, car je ne sais pas qui peut la voir et qui ne peut pas », me dit Alrawi.

Wasabi, l’ingénieur en sécurité qui nous a montré comment obtenir l’adresse réseau d’une caméra Eufy, dit qu’il lui arrache tout. « Je les ai achetés parce que j’essayais d’être soucieux de la sécurité! » s’exclame-t-il.

Avec quelques cames Eufy spécifiquesvous pouvez peut-être essayer de les changer pour utiliser à la place la vidéo sécurisée HomeKit d’Apple.

Avec des rapports et des tests de Jen Tuohy et Nathan Edwards