16.7 C
Athens
Παρασκευή, 29 Μαρτίου, 2024

Σοβαρό πρόβλημα ασφαλείας με τις κάμερες ασφαλείας “τοπικής αποθήκευσης” της Eufy – Ασφάλεια

Ειδήσεις Ελλάδα

Οι οικιακές κάμερες ασφαλείας έχουν βελτιωθεί πολύ τα τελευταία χρόνια, αλλά η ασφάλεια της μετάδοσης ήταν πάντα ένα θέμα που απασχολεί τους καταναλωτές.

Το brand Eufy της Anker ισχυρίζεται ότι τα δεδομένα διατηρούνται τοπικά, αλλά ένας ερευνητής ασφαλείας αποκάλυψε ότι ο ισχυρισμός αυτός απέχει πολύ από την αλήθεια, με τα πλάνα όχι μόνο να πηγαίνουν στο cloud, αλλά να παραμένουν ορατά ακόμη και μετά τη διαγραφή τους. Το κερασάκι στην τούρτα είναι ότι όλα αυτά γίνονται χωρίς καμία κωδικοποίηση.

Η Eufy φημίζεται για τις κάμερες ασφαλείας της, αναφέροντας ότι το βίντεο και άλλα δεδομένα που καταγράφονται από αυτές, παραμένουν σε τοπικό επίπεδο, τονίζοντας μάλιστα στον ιστότοπό της ότι “κανείς δεν έχει πρόσβαση στα δεδομένα σας εκτός από εσάς”.

Ο Paul Moore, ένας ερευνητής ασφαλείας, δημοσίευσε στο Twitter την περασμένη εβδομάδα ένα πολύ μεγάλο πρόβλημα ασφαλείας των προϊόντων οικιακής ασφάλειας της Eufy, συμπεριλαμβανομένων των κουδουνιών πόρτας που είναι εξοπλισμένα με κάμερες. Στο thread και στα συνοδευτικά βίντεο, ο Moore παρουσιάζει αποδείξεις ότι οι κάμερες της Eufy στέλνουν δεδομένα στο cloud, ακόμη και όταν η αποθήκευση στο cloud είναι απενεργοποιημένη.

Το κενό ασφαλείας ανακαλύφθηκε για πρώτη φορά με την κάμερα Doorbell Dual της Eufy, η οποία χρησιμοποιεί δύο κάμερες για να βλέπει τόσο τους ανθρώπους που πλησιάζουν την πόρτα σας όσο και το κατώφλι σας όπου μπορεί να υπάρχουν πακέτα.

Η κάμερα του κουδουνιού ανέβαζε δεδομένα αναγνώρισης προσώπου στους cloud servers της Eufy με συνημμένες πληροφορίες αναγνώρισης ενώ τα δεδομένα αυτά παρέμειναν στους servers ακόμα και όταν το σχετικό υλικό είχε διαγραφεί από την εφαρμογή της Eufy. Στο βίντεο, ο Moore αναφέρει επίσης ότι η Eufy χρησιμοποίησε τα δεδομένα αναγνώρισης προσώπου από δύο διαφορετικές κάμερες σε δύο εντελώς διαφορετικούς λογαριασμούς για να συνδέσει δεδομένα από τον καθένα, και επισημαίνει ότι η Eufy δεν ειδοποιεί ποτέ τον χρήστη ότι κάτι τέτοιο συμβαίνει.

Δεν είναι σαφές πόσες από τις κάμερες και τα προϊόντα οικιακής ασφάλειας της Eufy επηρεάζονται από το πρόβλημα αυτό. Το Android Central μπόρεσε να αναπαράγει τα ίδια προβλήματα ασφαλείας σε μια EufyCam 3 σε συνδυασμό με μια Eufy HomeBase 3.

Ίσως πιο ανησυχητικά ήταν τα ευρήματα ενός άλλου χρήστη ότι τα streams από το hardware της Eufy είναι προσβάσιμα δημόσια χωρίς να είναι κρυπτογραφημένα. Χρησιμοποιώντας απλώς το δημοφιλές πρόγραμμα αναπαραγωγής πολυμέσων VLC, ένας χρήστης μπόρεσε να αποκτήσει πρόσβαση στην τροφοδοσία μιας κάμερας και ο Paul Moore επιβεβαίωσε (αν και χωρίς να δείξει πώς λειτουργεί) ότι οι μεταδόσεις βίντεο είναι προσβάσιμες χωρίς να απαιτείται κρυπτογράφηση ή έλεγχος ταυτότητας.

Η ιστοσελίδα The Verge επιβεβαίωσε περαιτέρω ότι το κενό ασφαλείας του VLC υπάρχει. Ένας υπεύθυνος δημοσίων σχέσεων της Anker δήλωσε με αυτοπεποίθηση: «Μπορώ να επιβεβαιώσω ότι δεν είναι δυνατόν ένα stream να το παρακολουθήσει κάποιος ζωντανά χρησιμοποιώντας εφαρμογή τρίτου κατασκευαστή όπως το VLC», κάτι που όμως δημοσιογράφοι διαψεύδουν κατηγορηματικά, καταφέρνοντας να κάνουν αυτό ακριβώς.

Η δημοσίευση σημειώνει ότι αρχικά χρειάστηκε έλεγχος ταυτότητας για να αποκτήσει πρόσβαση στα στοιχεία του stream, αλλά στη συνέχεια οι πληροφορίες λειτουργούν χωρίς περαιτέρω έλεγχο ταυτότητας. Κατάφεραν να κάνουν streaming βίντεο όσο η κάμερα ήταν σε λειτουργία εγρήγορση, δηλαδή όταν καταγράφει βίντεο μετά από ανίχνευση κίνησης ή όταν παρακολουθεί ζωντανά ο ιδιοκτήτης της. 

Ο Paul Moore, ο ερευνητής που ανέδειξε πρώτος αυτό το ζήτημα, μοιράστηκε επίσης με το δημοσίευμα ότι έχει ξεκινήσει νομικές διαδικασίες κατά της Anker. 

1

5

Ειδήσεις

ΠΗΓΗ

Σχετικά άρθρα

Θέσεις εργασίας - Βρείτε δουλειά & προσωπικό