Популярните охранителни камери с марката Eufy на Anker изглежда изпращат някои данни в облака, дори когато облачното съхранение е деактивирано и настройките само за локално съхранение са включени. Информацията идва от консултанта по сигурността Пол Мур, който миналата седмица публикува видео, демонстриращо проблема.
Според Мур той е закупил Eufy Doorbell Dual, което е предназначено да бъде устройство, което съхранява видеозапис на устройството. Беше установено, че Eufy качва миниатюри на лица и потребителска информация в облачната си услуга, когато облачната функция не е активирана.
Мур демонстрира неразрешено качване в облак, като оставя камерата да направи снимката му и изключва Eufy HomeBase. Уебсайтът все още имаше достъп до съдържанието чрез облачна интеграция, въпреки че не се е регистрирал за облачната услуга, и все още е достъпен дори когато моментните снимки са премахнати от приложението Eufy. Важно е да се отбележи, че Eufy не изглежда автоматично да качва пълния видео поток в облака, а по-скоро заснема видеозаписи като миниатюри.
Миниатюрите в приложението Eufy се използват за активиране на видео стрийминг от базовата станция на Eufy, което позволява на потребителите на Eufy да гледат собствените си видеоклипове, когато са далеч от дома, както и да изпращат богати насочени известия. Проблемът е, че той автоматично качва миниатюри в облака, дори когато функционалността на облака е неактивна, и изглежда, че Eufy също използва разпознаване на лица при качвания. Някои потребители са имали проблеми с неоторизирано качване в облак, тъй като Eufy рекламира само местна услуга и е станал популярен сред тези, които искат по-лична камера решение. „Без облаци или разходи“, чете той Уебсайт на Eufy.
Мур предполага, че Eufy може също така да свързва данни за разпознаване на лица, събрани от две отделни камери и две отделни приложения към потребителите, всички без знанието на собствениците на камерата.
Други потребители на Eufy отговориха на туита на Мур и видяха, че се случва същото, а също така има Специална нишка в Reddit относно тази тема. Мур тества камера за звънец на Eufy, но изглежда така работят и други камери Eufy. Както Мур обяснява, изображенията могат да бъдат достъпни с помощта на прости URL адреси след влизане, което представлява потенциален риск за сигурността на участващите. Eufy премахна фоновото обаждане, разкриващо стокови изображения след туита на Мур, но не премахна кадрите.
Мур получи отговор от Eufy, в който Eufy потвърди, че качва списъци със събития и миниатюри в AWS, но каза, че данните не могат да „изтекат до обществеността“, тъй като URL адресът е затворен, ограничен във времето и изисква влизане в акаунт.
Има и друг проблем, подчертан от Мур, който предполага, че потоците от камерата на Eufy могат да се гледат директно с помощта на приложение като VLC, но малко информация за експлойта е налична в момента. Нешифрованото съдържание на камерата на Eufy може да бъде достъпно без удостоверяване, каза Мур, което е тревожно за потребителите на Eufy.
Свързахме се с Anker за допълнителен коментар относно проблема с Eufy и ще актуализираме тази статия, ако получим отговор. Мур каза, че се е свързал с правния отдел на Eufy и ще им даде време да „разследват и предприемат подходящи действия“, преди да може да коментира по-нататък.
Модернизация: Анкер подаде декларация за Mac слуховеобяснявайки защо изображенията се събират и как проблемът ще бъде решен занапред.
eufy Security е проектирана като система за домашна сигурност. Всички видеозаписи се съхраняват локално и криптирани на устройството на потребителя. По отношение на технологията за разпознаване на лица в eufy Security, всичко това се обработва и съхранява локално на устройството на потребителя.
Нашите продукти, услуги и операции са напълно съвместими със стандартите GDPR, включително сертификати ISO 27701/27001 и ETSI 303645.
За да предоставим на потребителите насочени известия към техните мобилни устройства, някои от нашите решения за сигурност генерират малки изображения за предварителен преглед (миниатюри) за видеоклипове, които се хостват в защитена емисия на облачен сървър, базиран на AWS. Тези миниатюри използват криптиране от страна на сървъра, настроени са да се изтриват автоматично и са съвместими със стандартите на Apple Push Notification Service и Firebase Cloud Messaging. Потребителите имат достъп или споделят тези миниатюри само след като са влезли сигурно в своя eufy акаунт за сигурност.
Въпреки че нашето приложение за сигурност eufy позволява на потребителите да избират между текстови или базирани на миниатюри насочени известия, не е ясно, че избирането на базирани на миниатюри известия ще изисква изображения за предварителен преглед да бъдат хоствани за кратко в облака.
Тази липса на комуникация беше пропуск от наша страна и искрено се извиняваме за грешката си. Ето как планираме да подобрим комуникацията си по въпроса:
1) Преглеждаме езика на опцията за насочени известия на приложението eufy Security за ясни подробности, че насочените известия с миниатюри изискват изображения за визуализация, които ще бъдат кеширани в облака.
2) Ще бъдем по-ясни относно използването на облака за насочени известия в нашите насочени към потребителите маркетингови материали.
eufy Security се ангажира с поверителността и защитата на данните на нашите потребители и оценява общността за изследване на сигурността, която се свърза с нас, за да ни обърне внимание на това.