Eufy отрече да ни е лъгал за сигурността на охранителните камери

Anker изгради впечатляваща репутация за качество през последното десетилетие, изграждайки своя бизнес за зареждане на телефони в империя, обхващаща всякакъв вид преносима електроника – включително камерите за домашна сигурност Eufy, които сме препоръчвали през годините. ioffe Ангажимент за поверителност Брилянтно: Обещава, че данните ви се съхраняват локално, че „никога не напускат сигурността на вашия дом“, че неговите моментни снимки се изпращат само с криптиране от военен клас „от край до край“ и че ще изпраща само това кадри “директно на вашия телефон.”

Така че можете да си представите нашата изненада, когато научите, че можете да предавате поточно видео от камера Eufy, от другия край на страната, без каквото и да е криптиране.

a:hover]:text-gray-63 text-gray-63 dark:[&>a:hover]:text-gray-bd dark:text-gray-bd dark:[&>a]:text-gray-bd [&>a]:shadow-underline-gray-63 [&>a:hover]:shadow-underline-black dark:[&>a]:shadow-underline-gray dark:[&>a:hover]:shadow-underline-gray”>Екранна снимка от Шон Холистър / The Verge

Дори по-лошо, все още не е ясно колко широко разпространено е това – защото вместо да се заеме директно с него, компанията лъжливо твърди ръбът Дори не беше възможно.

На Деня на благодарността консултантът по информация и комуникации Пол Мур и хакер, който се нарича уасаби И двамата предполагаеми Камерите Anker Eufy могат да предават некриптирани чрез облака – само чрез свързване към уникален адрес в облачните сървъри на Eufy с помощта на безплатния медиен плейър VLC.

Когато помолихме Anker Point-blank да потвърди или отрече това, компанията категорично отрече. „Мога да потвърдя, че не е възможно да стартирате поток и да гледате кадри на живо, като използвате плейър на трета страна като VLC“, ми каза Брет Уайт, директор за връзки с обществеността в Anker, по имейл.

Но ръбът Сега може да се потвърди, че това не е вярно. Тази седмица многократно видяхме кадри на живо от две от нашите камери Eufy, използващи един и същ VLC медиен плейър, от цяла САЩ — което доказва, че Anker има начин да заобиколи криптирането и да получи достъп до тези уж защитени камери чрез облака.

Има някои добри новини: все още няма доказателства, че това някога е било използвано в дивата природа, начинът, по който първоначално получихме адреса, изискваше влизане с потребителско име и парола, преди уебсайтът на Eufy да стартира потока без криптиране. (Тук не споделяме точната техника.)

Освен това изглежда, че работи само при събуждащи се камери. Трябваше да изчакаме нашата камера с фенерче да засече преминаваща кола или нейният собственик да натисне бутон, преди VLC потокът да започне.

16-цифреният сериен номер на фотоапарата – който вероятно се появява на кутията – е най-голямата част от ключа

Но става и по-лошо: най-добрите практики на Eufy изглеждат толкова калпави, че лошите актьори може да успеят да разберат адреса на емисията на камерата – защото този адрес се състои до голяма степен от Серийният номер на вашия фотоапарат Кодиран в Base64, нещо, което можете лесно да обърнете с прост онлайн калкулатор.

Адресът също така включва клеймо за време на Unix, което можете лесно да генерирате, токен, който сървърите на Eufy изглежда всъщност не проверяват (променихме нашия токен на „произволен картоф“ и той все още работи) и четирицифрено произволно шестнадесетично число 65 536 комбинации, които лесно могат да бъдат груба сила.

„Това определено не е начинът, по който трябва да проектирате“, казва Джейкъб Томпсън, инженер по уязвимости в Mandiant. Разказва ръбът. От една страна, серийните номера не се променят, така че лошият актьор може да даде, продаде или дари камера на Goodwill и тихо да продължи да гледа емисии. Но той също така посочва, че компаниите са склонни да не пазят серийните си номера в тайна. Някои го залепват директно към кутията, която продават в Best Buy – да, включително Eufy.

Положителната страна е, че серийните номера на Eufy са дълги до 16 знака и не са само нарастващо число. „Няма да можете просто да отгатнете идентификационните номера и да започнете да ги удряте“, казва съветникът на екипа на Mandiant Red Дилън Франк, наричайки го „спасителната благодат“ на това разкритие. „Не звучи толкова лошо, колкото ако UserID е 1000, след това опитайте 1001, 1002, 1003.“

Може да е по-зле. Когато докторска степен и изследовател в областта на сигурността Georgia tech. Кандидатът Омар Ал-Рауи изследваше лошите интелигентни домашни практики през 2018 г. и видя някои устройства да заемат мястото им техния MAC адрес За сигурност обаче MAC адресът е дълъг само дванадесет знака и обикновено можете да откриете само първите шест, като знаете коя компания е направила инструмент, обяснява той.

„Сега серийният номер е от решаващо значение за запазването на поверителността.“

Но също така не знаем как тези серийни номера са могли да изтекат или дали Eufy може неволно да ги предостави на всеки, който поиска. „Понякога има API, които ще върнат част от тази информация за уникален идентификатор“, казва Франке. „Сега серийният номер е от решаващо значение за запазването на поверителността и не мисля, че ще се справят с него по този начин.“

Томпсън също се чуди дали има други потенциални вектори за атака сега, след като знаем, че камерите на Eufy не са напълно криптирани: „Ако архитектурата им позволява да поискат камерата да започне стрийминг по всяко време, тогава всеки с административен достъп има способността да получи достъп до IT инфраструктура.” И гледайте камерата си”, това е далеч от твърдението на Anker, че кадрите са “изпратени директно на вашия телефон – и само вие имате ключа.”

Между другото, има и други обезпокоителни признаци, че практиките за сигурност на Anker може да са много по-лоши, отколкото те показват. Цялата тази история започна, когато Мур започна Те започнаха да чуруликат обвинения че Eufy е нарушил други обещания за сигурност, включително качване на миниатюри (включително лица) в облака без разрешение и Неуспешно изтриване на съхранените лични данни. Съобщава се, че Анкер обаче е признал първото Наречете го недоразумение.

Най-притеснителното е, ако това е вярно, както той твърди Че ключът за шифроване на Eufy за неговото видео е буквално само обикновен текстов низ „ZXSecurity17Cam@“. Тази фраза също се появява В хранилището на GitHub от 2019 гмного.

Той не отрече ръбътДиректен въпрос с да или не за това дали „@ZXSecurity17Cam“ е ключът за шифроване.

Не успяхме да получим повече подробности и от Мур; Казвам ръбът Той не може да коментира повече Сега, когато съдебното дело е започнало срещу отказано.

Сега, след като Anker беше хванат в някои доста големи лъжи, ще бъде трудно да се доверим на всичко, което компанията казва по-нататък – но за някои, знаейки кои камери работят и не се държат по този начин, и ако и кога нещо се промени, може да бъде важно. Когато Wyze имаше смътно подобна уязвимост, тя я помита под килима за три години; Надяваме се, че Анкер ще се справи много по-добре.

Някои може да не искат повече да чакат или да се доверяват. Разказвачът ми каза: „Ако тази новина достигне до мен и тази камера е вътре в къщата ми, веднага щях да я изключа и да не я използвам, защото не знам кой може да я гледа и кой не“.

Wasabi, инженерът по сигурността, който ни показа как да получим мрежовия адрес на камерата Eufy, казва, че унищожава всичко, което има. „Купих ги, защото се опитвах да се грижа за безопасността!“ Извика.

с Някои избират камери Eufyможе би можете да опитате да го превключите, за да използвате вместо това HomeKit Secure Video на Apple.

С доклади и тестове от Джен Туохи и Нейтън Едуардс