Ne bilmek istiyorsun
- Güvenlik araştırmacısı Paul Moore, Eufy kameralarında birkaç güvenlik açığı keşfetti.
- Kullanıcı fotoğrafları ve yüz tanıma verileri, kullanıcının izni olmadan buluta gönderilir ve canlı kamera yayınlarına herhangi bir kimlik doğrulaması olmadan erişilebilir.
- Moore, o zamandan beri bazı sorunların düzeltildiğini ancak bulut verilerinin düzgün bir şekilde silindiğini doğrulayamadığını söylüyor. Birleşik Krallık’ta ikamet eden Moore, Genel Veri Koruma Yönetmeliği’ni (GDPR) olası bir ihlali nedeniyle Eufy’ye karşı yasal işlem başlattı.
- Eufy Destek, bazı sorunları onayladı ve konu hakkında uygulama güncellemesinin net bir dil sunacağını belirten resmi bir açıklama yaptı.
29 Kasım 11:32’de güncellendi: Red Bull Moore, Android Central’a eklendi.
29 Kasım 15:30’da güncellendi: Eufy, aşağıda Eufy Açıklama bölümünde görülebilen neler olduğunu açıklayan bir bildiri yayınladı.
Eufy’nin aşağıdaki açıklamasına göre, Bay Moore’un karşılaştığı sorunların çoğu, kullanıcılar kamera bildirim küçük resimlerini etkinleştirmediği sürece ortaya çıkmayacaktır. Bu küçük resimler, anlık bildirim amacıyla buluta gönderilir. Eufy’nin AWS bulutuna gerçek bir video çekimi gönderilmedi.
Eufy Security yıllardır, öncelikle videoları ve diğer ilgili verileri yalnızca yerel olarak depolayarak kullanıcı gizliliğini koruma ilkesiyle gurur duymuştur. Ancak bir güvenlik araştırmacısı, bazı Eufy kameralarının fotoğrafları, yüz tanıma görüntülerini ve diğer özel verileri kullanıcının izni olmadan bulut sunucularına yüklediğini gösteren kanıtlara atıfta bulunarak buna itiraz ediyor.
a Tweet dizisi (Yeni bir sekmede açılır) Bilgi güvenliği danışmanı Paul Moore, yüz tanıma verilerini Eufy’nin AWS bulutuna şifrelenmemiş olarak yükleyen bir Eufy Doorbell Dual kamera gösteriyor gibi görünüyor. Moore, bu verilerin belirli bir kullanıcı adı ve diğer tanımlanabilir bilgilerle birlikte saklandığını açıklıyor. Ayrıca Moore, anlık görüntüler Eufy uygulamasından “silindiğinde” bile bu verilerin Eufy’nin Amazon tabanlı sunucularında tutulduğunu söylüyor.
Ayrıca Moore, kameralardan gelen videoların doğru URL girilerek bir web tarayıcısı aracılığıyla izlenebileceğini ve söz konusu videoları görüntülemek için herhangi bir kimlik doğrulama bilgisi gerekmediğini iddia ediyor. Moore, AES 128 ile şifrelenmiş Eufy kameralarından gelen videonun uygun bir rasgele dizi yerine yalnızca basit bir anahtarla yapıldığına dair kanıtlar gösteriyor. Örnekte, Moore’un videoları şifreleme anahtarı olarak “@ZXSecurity17Cam” ile saklanıyordu; bu, çekimlerinizi gerçekten isteyen herkes tarafından kolaylıkla hacklenebilecek bir şeydi.
Moore, Eufy desteğiyle temasa geçti ve bu yüklemelerin bildirimlere ve diğer verilere yardımcı olduğunu belirterek kanıtları doğruladılar. Destek, tanımlanabilir kullanıcı verilerinin küçük resimlere eklenmesi için iyi bir neden sağlamıyor gibi görünüyor; bu, başkalarının verilerinizi doğru araçlarla bulması için büyük bir güvenlik açığı açabilir.
Moore, Eufy’nin depolanan bulut verilerinin durumunu kontrol etmeyi imkansız kılan bazı sorunları zaten düzelttiğini söylüyor ve şu açıklamayı yapıyor:
Ne yazık ki (veya neyse ki, nasıl bakarsanız bakın) Eufy ağ aramasını zaten kaldırdı ve keşfini neredeyse imkansız hale getirmek için diğerlerini büyük ölçüde şifreledi; bu nedenle önceki PoC’ler artık çalışmıyor. yine de sonuç döndürebilecek olan sunulan yükler”.
Android Central, Eufy ve Paul Moore ile görüşüyor ve durum geliştikçe bu makaleyi güncellemeye devam edecek. Moore’un Eufy için olası güvenlik sorunlarıyla ilgili araştırmasında neler yaptığı hakkında daha fazla bilgi edinmek istiyorsanız, Eufy’nin resmi açıklaması, açıklaması ve daha fazla bilgi için aşağıyı okuyun.
Eufy açıkladı
Eufy, Android Central’a “ürünlerinin, hizmetlerinin ve operasyonlarının, ISO 27701/27001 ve ETSI 303645 sertifikaları dahil olmak üzere GDPR standartlarına tamamen uygun olduğunu” söyledi.
GDPR sertifikası, şirketlerin Avrupa Birliği’ne veri güvenliği ve yönetimine ilişkin kanıt sağlamasını gerektirir. Sertifikalı olmak bir damga değildir ve uygun bir yönetim organının onayına ihtiyaç duyar ve bir ICO tarafından düzenlenir.
Varsayılan olarak, kamera bildirimleri yalnızca metin olarak ayarlanmıştır ve herhangi bir küçük resim oluşturmaz veya yüklemez. Bay Moore’un durumunda, küçük resimleri bildirimle birlikte gösterme seçeneğini etkinleştirdi. Uygulama böyle görünüyor.
Eufy, bu küçük resimlerin geçici olarak AWS sunucularına yüklendiğini ve ardından kullanıcının makinesi için bildirimde paketlendiğini söylüyor. Bu mantık, bildirimlerin sunucu tarafında işlenmesi ve genellikle Eufy’nin sunucularından gelen salt metin bildirimlerinin aksi belirtilmedikçe herhangi bir görüntü verisi içermemesi nedeniyle kontrol eder.
Eufy, push bildirim uygulamalarının “Apple Push Notification ve Firebase Cloud Messaging standartlarıyla uyumlu” olduğunu ve otomatik olarak silindiğini, ancak bunun olması gereken bir zaman dilimi belirtmediğini söylüyor.
Ayrıca Eufy, “küçük resimlerin sunucu tarafında şifreleme kullandığını” ve oturum açmamış kullanıcılar tarafından görülmemesi gerektiğini söylüyor. Bay Moore’un aşağıdaki kavram kanıtı, küçük resimleri almak için aynı gizli web tarayıcısı oturumunu kullandı, dolayısıyla daha önce doğruladığı aynı web önbelleğini kullandı.
Eufy, “eufy Security uygulamamız, kullanıcıların metin tabanlı veya küçük resim tabanlı anlık bildirimler arasında seçim yapmasına izin verse de, küçük resim tabanlı bildirimleri seçmenin önizleme görüntülerinin kısa süreliğine bulutta barındırılmasını gerektireceği açıklığa kavuşturulmadı” diyor. İletişim bizim açımızdan bir ihmaldi ve hatamız için içtenlikle özür dileriz.”
Eufy, bu konudaki iletişimi geliştirmek için aşağıdaki değişiklikleri yaptığını söylüyor:
- Küçük resimler içeren anında iletme bildirimlerinin bulutta önbelleğe alınacak önizleme görüntüleri gerektirdiğini açıkça ayrıntılandırmak için eufy Security uygulamasının anında iletme bildirimleri seçeneğinin dilini revize ediyoruz.
- Tüketiciye yönelik pazarlama malzemelerimizde anlık bildirimler için bulutu kullanma konusunda daha açık olacağız.
Eufy’ye aşağıdaki Paul Moore’un kavram kanıtlamasında daha fazla sorun hakkında soru soran birkaç takip sorusu gönderdim ve yanıtlanır yanıtlanmaz makaleyi güncelleyeceğim.
Paul Moore’un kavram kanıtı
Eufy iki ana kamera türü satar: doğrudan evinizin Wi-Fi ağına bağlanan kameralar ve yalnızca yerel bir kablosuz bağlantı aracılığıyla Eufy HomeBase’e bağlanan kameralar.
Eufy HomeBase, Eufy kamera görüntülerini ünite içindeki bir sabit sürücü aracılığıyla yerel olarak depolamak için tasarlanmıştır. Ancak, evinizde bir HomeBase olsa bile, doğrudan Wi-Fi ağınıza bağlanan bir SoloCam veya Doorbell satın alırsanız, video verilerinizi HomeBase yerine Eufy Cam’in kendisinde depolar.
Paul Moore’un durumunda, doğrudan Wi-Fi’ye bağlanan ve HomeBase’i atlayan bir Eufy Doorbell Dual kullanıyordu. İşte konuyla ilgili ilk videosu, 23 Kasım 2022’de yayınlandı.
Videoda Moore, Eufy’nin hem kameradan alınan görüntüyü hem de yüz tanıma görüntüsünü nasıl yüklediğini gösteriyor. Ayrıca, yüz tanıma görüntüsünün, ikisi kullanıcı adını (sahibi_ID) ve başka bir kullanıcının kimliğini ve kaydedilen ve saklanan yüz kimliğini (AI_Face_ID) içeren birkaç meta veri parçasıyla birlikte depolandığını gösterir.
Daha da kötüsü, Moore’un animasyonlu bir olayı tetiklemek için başka bir kamera kullanması ve ardından Eufy’nin AWS bulutundaki sunucularına iletilen verileri incelemesidir. Moore, görüntüleri yerel olarak “depolamak” için farklı bir kamera, farklı bir kullanıcı adı ve hatta farklı bir ana üs kullandığını, ancak Eufy’nin Face ID’yi tanıyabildiğini ve fotoğrafıyla ilişkilendirebildiğini söylüyor.
Bu, Eufy’nin bu yüz tanıma verilerini kendi bulutunda sakladığını ve dahası, bu fotoğraflardaki kişilere ait olmasalar bile kameraların depolanan yüzleri kolayca tanımasını sağladığını kanıtlıyor. Bu iddiayı desteklemek için Moore, klipleri sildiği ve görüntülerin hala Eufy AWS sunucularında olduğunu kanıtladığı başka bir video kaydetti.
Buna ek olarak Moore, kapı zili kamerasından canlı görüntüleri herhangi bir kimlik doğrulaması olmadan yayınlayabildiğini, ancak taktiğin halka açıklanması halinde kötüye kullanılma potansiyeli nedeniyle halka açık bir kavram kanıtı sağlamadığını söylüyor. Eufy’yi doğrudan bilgilendirdi ve o zamandan beri Eufy’nin uyumunu sağlamak için yasal işlem başlattı.
Şu anda, bu Eufy için gerçekten kötü görünüyor. Şirket, yıllardır kullanıcı verilerini yerel tutmanın ve asla buluta yüklememenin arkasında durdu. yerine getirirken ayrıca Bulut hizmetlerine sahiptir, kullanıcı özellikle böyle bir uygulamaya izin vermedikçe buluta hiçbir veri yüklenmemelidir.
Ayrıca, kullanıcı kimliklerini ve diğer kişisel verileri bir kişinin yüzünün fotoğrafıyla birlikte saklamak, aslında büyük bir güvenlik ihlalidir. Eufy o zamandan beri buluta gönderilen URL’leri ve diğer verileri kolayca bulma becerisine yama uygulamış olsa da, şu anda Eufy’nin bu verileri kullanıcının izni olmadan bulutta depolamaya devam edip etmediğini doğrulamanın bir yolu yok.
“Coffee enthusiast. Introvert. Proud problem solver. Explorer. Friendly music enthusiast. Zombie nerd.”
More Stories
Google, yeni içerik sınıflandırma sistemiyle yapay zeka çağında özgünlük arıyor
3D modelleme tutkununun yayınladığı Nintendo Switch 2 tasarımları internet kullanıcılarını güldürüyor
Apple için AB bir nakit çukuru – Politico