دوربین های امنیتی Eufy داده ها را بدون رضایت به ابر ارسال می کنند و این بدترین قسمت نیست


عروسک پینوکیو با دوربین های یوفی در پس زمینه به پایین نگاه می کند

تصویر: ماریا دیاز | ZDNET – عکس: MaryAnnShmueli از طریق Getty Images

ادعاهای یوفی پس از اینکه یک محقق شرکت دوربین‌های امنیتی را در حال آپلود فیلم‌های محلی در فضای ابری بدون مجوز یا آگاهی کاربر دستگیر کرد، «حریم خصوصی در دستان خودتان» باطل شد. برای تکمیل همه چیز، کاربران همچنین آگاه شده اند که می توانید جریان های دوربین را با استفاده از آن تماشا کنید VLC بدون احراز هویت

پل موریک محقق امنیتی، اولین کسی بود که نقص امنیتی در داده های محلی ذخیره شده در ابر را افشا کرد. او در ویدیوی زیر اشاره کرد که اگرچه Eufy Security ادعا می‌کند که «هر گامی را که بتوان تصور کرد» برای حفظ خصوصی و محلی داده‌های کاربرانش برمی‌دارد، همچنان نه تنها تصاویر کوچک ویدیو را در سرورهای ابری آپلود می‌کند، بلکه عکس‌هایی از چهره افراد شناسایی‌شده را نیز آپلود می‌کند. در ویدیو و داده های شناسه کاربر.

همچنین: این نوع فایل ها آنهایی هستند که بیشتر توسط هکرها برای مخفی کردن بدافزار خود استفاده می شود

Eufy می‌خواهد داده‌های ویدیویی گرفته شده را در آن نگه دارد HomeBase، که مانند یک مرکز خانه هوشمند روی استروئیدها است. HomeBase به دستگاه‌های Eufy در اطراف خانه شما متصل می‌شود و داده‌ها را در آن ذخیره می‌کند، بنابراین ویدیوها و تصاویر شما محلی می‌مانند و مجبور نیستید مانند سایر شرکت‌ها مانند سایر شرکت‌ها، برای خدمات ابری هزینه کنید. حلقه.

در میان علاقه مندان به خانه های هوشمند به دلیل همین ویژگی بسیار محبوب است: ویدیوها و هر داده مربوطه به طور ایمن در خانه شما باقی می ماند و فقط در درایو حافظه HomeBase و/یا یک HDD یا SSD اضافه شده ذخیره می شود.

مور این را با رفتن به سمت خود آزمایش کرد Eufy Doorbell دوتایی، منتظر است تا اعلان در تلفن او ظاهر شود، سپس HomeBase را از برق جدا کنید.

مور اشاره کرد که هنگامی که HomeBase او آفلاین بود، دو عکس در سرور ابری AWS باقی می‌ماند: یکی از پست‌های ویدیویی و دیگری از صورت او زمانی که دوربین زنگ در یک شخص را شناسایی کرد، و همچنین اطلاعات شناسه کاربر. البته از آنجایی که HomeBase غیرقابل دسترس بود، ویدیو دیگر در برنامه تلفن همراه تلفن او در دسترس نبود.

یوفی پاسخ داد با اعتراف به موضوع و اشاره به اینکه تصاویر فقط برای اطلاع رسانی استفاده می شوند و با حذف رویدادها توسط کاربر بلافاصله از سرور حذف می شوند. با این حال، هنگامی که او رویدادها را از برنامه امنیتی Eufy خود حذف کرد، تصاویر همچنان روی سرور باقی مانده بودند.

برای تکمیل همه چیز، سایر کاربران در معرض دید قرار دادند که هر کسی می تواند با استفاده از VLC از راه دور به دوربین Eufy بدون احراز هویت یا رمزگذاری دسترسی داشته باشد.

از زمانی که این ادعاها مطرح شد، آستانه گفت که این کار را با موفقیت انجام داده است و “ثابت می کند که Anker راهی برای دور زدن رمزگذاری و دسترسی به این دوربین های ظاهراً ایمن از طریق ابر دارد”.

آیا این به این معنی است که Eufy امن نیست؟

مطابق با یک ایمیل از Eufy Security گرفته تا Moore، HomeBase 3 از استفاده از سرور ابری AWS برای آپلود اسکرین‌شات‌های رویداد به دلیل «پایگاه داده با کارایی بالا» ساخته شده در دستگاه معاف است.

جدا کردن HomeBase مانند جدا کردن یک درایو فلش USB از رایانه شما است: هر چیزی که روی درایو فلش است پس از برداشتن آن دیگر در رایانه در دسترس نیست.

Eufy باید ضربان قلب را بررسی کند که وقتی HomeBase آفلاین است، هر اسکرین شات گرفته شده از آن نمایه حذف شود. حداقل زمانی که عکس‌های فوری را روی اعلان‌های خود فعال می‌کنید، یک سلب مسئولیت ظاهر می‌شود تا بگوید در صورت فعال بودن این تصاویر در یک سرور ابری ذخیره می‌شوند.

تا آنجا که شخص دیگری که به دوربین Eufy دسترسی دارد از راه دور پخش جریانی می کند؟ تنها چیزی که می توانم بگویم این است که فعلاً دوربین های Eufy را بیرون از خانه نگه می دارم.




منبع: https://www.zdnet.com/article/eufys-security-cameras-send-data-to-the-cloud-without-consent-and-thats-not-the-worst-part/#ftag=RSSbaffb68