Eufy surpris en train de mentir à propos de caméras de sécurité locales uniquement avec des images envoyées dans le cloud, accessibles dans des flux non cryptés

Eufy surpris en train de mentir à propos de caméras de sécurité locales uniquement avec des images envoyées dans le cloud, accessibles dans des flux non cryptés

Les caméras de sécurité à domicile se sont beaucoup améliorées ces dernières années, mais la sécurité de vos images a toujours été une préoccupation. La marque Eufy d’Anker prétend conserver les données locales, mais un chercheur en sécurité a révélé que cette affirmation est loin d’être vraie, les images allant non seulement dans le cloud, mais restant visibles même après leur suppression.

Eufy vend plusieurs de ses caméras de sécurité avec la promesse que les séquences vidéo et autres données sont uniquement locales, en disant explicitement « personne n’a accès à vos données sauf vous » sur son site Web.

Paul Moore, chercheur en sécurité, publié sur Twitter la semaine dernière une situation de sécurité effrayante avec les produits de sécurité à domicile Eufy, y compris les sonnettes équipées de caméras. Dans le fil de discussion et les vidéos qui l’accompagnent, Moore montre la preuve que les caméras Eufy envoient des données dites « stockées localement » dans le cloud, même lorsque le stockage dans le cloud est désactivé.

Le trou de sécurité a été découvert pour la première fois sur la double caméra Doorbell d’Eufy qui utilise deux caméras pour voir à la fois les personnes marchant jusqu’à votre porte ainsi que votre porte où les colis peuvent être laissés.

La caméra de la sonnette téléchargeait les données de reconnaissance faciale de la caméra vers les serveurs cloud d’Eufy avec des informations identifiables jointes, et que ces données n’étaient pas réellement supprimées des serveurs d’Eufy lorsque les images associées avaient été supprimées de l’application Eufy. Dans la vidéo ci-dessous, Moore note également qu’Eufy a utilisé les données de reconnaissance faciale de deux caméras différentes sur deux comptes complètement différents pour lier les données de chacun, et souligne qu’Eufy n’informe jamais l’utilisateur que cela se produit – le marché de l’entreprise implique plutôt juste L’opposé.

On ne sait pas combien de caméras et de produits de sécurité domestique d’Eufy sont concernés par cela. Centrale Android a pu reproduire les mêmes problèmes de sécurité sur une EufyCam 3 couplée à une Eufy HomeBase 3.

Peut-être plus effrayantes étaient les découvertes d’un autre utilisateur selon lesquelles ces flux de séquences Eufy sont accessibles via des flux non cryptés. En utilisant simplement le populaire lecteur multimédia VLC, un utilisateur a pu accéder au flux d’une caméra, et Paul Moore a confirmé (mais sans montrer comment cela fonctionne) que les flux sont accessibles sans cryptage ni authentification.

Eufy n’a pas encore répondu publiquement à ces affirmations, mais les preuves sont assez claires à ce stade, et il s’agit d’une défaillance de sécurité massive en plus de mensonges directs aux clients. Moore a reçu un e-mail d’Eufy dans lequel l’entreprise a tenté d’expliquer le comportement montré, bien que Moore a raisonné que la plupart des réponses de l’entreprise minimisaient la gravité du problème.

Moore proposé une mise à jour à la situation d’hier, affirmant qu’Eufy a supprimé « l’appel en arrière-plan » qui montre les images stockées, mais pas les images sous-jacentes, et que la société a également crypté d’autres appels pour couvrir ses traces.

En savoir plus sur la sécurité à domicile :


Découvrez Netcost-security.fr sur YouTube pour plus d’informations :