vendredi, novembre 22, 2024

Les caméras de « stockage local » d’Eufy peuvent être diffusées de n’importe où, sans chiffrement

Agrandir / Les images de la caméra d’Eufy sont stockées localement, mais avec la bonne URL, vous pouvez également les regarder de n’importe où, sans cryptage. C’est compliqué.

(Mise à jour à 7 h 30 HE le 02/12/2022 : Eufy a publié une déclaration en réponse aux conclusions de The Verge et d’un chercheur en sécurité :

« eufy Security est catégoriquement en désaccord avec les accusations portées contre l’entreprise concernant la sécurité de nos produits. Cependant, nous comprenons que les événements récents peuvent avoir inquiété certains utilisateurs. Nous examinons et testons fréquemment nos fonctions de sécurité et encourageons les commentaires de la sécurité plus large l’industrie pour nous assurer que nous traitons toutes les vulnérabilités de sécurité crédibles. Si une vulnérabilité crédible est identifiée, nous prenons les mesures nécessaires pour la corriger. De plus, nous nous conformons à tous les organismes de réglementation appropriés sur les marchés où nos produits sont vendus. Enfin, nous encourageons les utilisateurs pour contacter notre équipe d’assistance clientèle dédiée si vous avez des questions. »

L’histoire originale suit.)

Lorsque les chercheurs en sécurité ont découvert que les caméras supposées sans cloud d’Eufy téléchargeaient des vignettes avec des données faciales sur des serveurs cloud, la réponse d’Eufy a été qu’il s’agissait d’un malentendu, d’un échec à divulguer un aspect de son système de notification mobile aux clients.

Il semble qu’il y ait plus de compréhension maintenant, et ce n’est pas bon.

Eufy n’a pas répondu aux autres affirmations du chercheur en sécurité Paul Moore et d’autres, y compris que l’on pourrait diffuser le flux d’une caméra Eufy dans VLC Media Player, si vous aviez la bonne URL. Hier soir, The Verge, en collaboration avec le chercheur en sécurité « wasabi » qui premier tweeté le problèmea confirmé qu’il pouvait accéder aux flux de caméras Eufy, sans cryptage, via une URL de serveur Eufy.

Cela rend les promesses de confidentialité d’Eufy de séquences qui « ne quittent jamais la sécurité de votre maison », sont cryptées de bout en bout et envoyées uniquement « directement sur votre téléphone » très trompeuses, voire carrément douteuses. Cela contredit également un responsable principal des relations publiques d’Anker / Eufy qui a déclaré à The Verge qu ‘ »il n’est pas possible » de regarder des images à l’aide d’un outil tiers comme VLC.

The Verge note quelques mises en garde, similaires à celles qui s’appliquaient à la vignette hébergée dans le cloud. Principalement, vous auriez généralement besoin d’un nom d’utilisateur et d’un mot de passe pour révéler et accéder à l’URL sans cryptage d’un flux. « Typiquement », c’est-à-dire parce que l’URL du flux de caméra semble être un schéma relativement simple impliquant le numéro de série de la caméra en Base64, un horodatage Unix, un jeton qui, selon The Verge, n’est pas validé par les serveurs d’Eufy et un code à quatre chiffres. valeur hexadécimale. Les numéros de série d’Eufy comportent généralement 16 chiffres, mais ils sont également imprimés sur certaines boîtes et peuvent être obtenus ailleurs.

Nous avons contacté Eufy et wasabi et mettrons à jour ce message avec toute information supplémentaire. Le chercheur Paul Moore, qui a initialement soulevé des inquiétudes concernant l’accès au cloud d’Eufy, tweeté le 28 novembre qu’il a eu « une longue discussion avec [Eufy’s] service juridique » et ne commentera pas davantage jusqu’à ce qu’il puisse fournir une mise à jour.

(Mise à jour, 17h42 HE : Ars a discuté avec wasabi, qui a confirmé qu’ils pouvaient voir les flux de caméras Eufy à partir de systèmes extérieurs à leur réseau sans authentification ou autres appareils Eufy sur ce système. « Il semble qu’Eufy essaie simplement d’empêcher les gens de voir les données envoyées par leur application (web) au lieu de résoudre le problème », ont-ils écrit.

Wasabi a également noté que la façon dont les URL distantes sont configurées, il n’y a que 65 535 combinaisons à essayer, « qu’un ordinateur peut parcourir assez rapidement ».)

La découverte de vulnérabilités est bien plus une norme qu’une exception dans les domaines de la maison intelligente et de la sécurité domestique. Ring, Nest, Samsung, la caméra de réunion d’entreprise Owl – si elle a un objectif et qu’elle se connecte au Wi-Fi, vous pouvez vous attendre à ce qu’un défaut apparaisse à un moment donné et que les gros titres l’accompagnent. La plupart de ces failles ont une portée limitée, compliquent l’action d’une entité malveillante et, avec une divulgation responsable et une réponse rapide, renforceront finalement les appareils et les systèmes.

Eufy, dans ce cas, ne ressemble pas à l’entreprise de sécurité cloud typique avec une vulnérabilité typique. Une page entière de promesses de confidentialité, y compris certaines mesures valables et notamment bonnes, a été rendue largement hors de propos en une semaine.

Vous pourriez dire que quiconque souhaite être informé des incidents de caméra sur son téléphone doit s’attendre à ce que certains serveurs cloud soient impliqués. Vous pourriez donner à Eufy le bénéfice du doute, que les serveurs cloud auxquels vous pouvez accéder avec la bonne URL sont simplement un point de passage pour les flux qui doivent éventuellement quitter le réseau domestique sous un verrouillage de mot de passe de compte.

Mais cela doit être particulièrement pénible pour les clients qui ont acheté les produits d’Eufy sous les auspices d’avoir leurs images stockées localement, en toute sécurité et différemment des autres entreprises basées sur le cloud pour voir Eufy avoir du mal à expliquer sa propre dépendance au cloud à l’un des plus grands points de presse technologiques.

Source-147

- Advertisement -

Latest