L’admission d’une violation de sécurité de la caméra Eufy laisse de nombreuses questions sans réponse

L'admission d'une violation de sécurité de la caméra Eufy laisse de nombreuses questions sans réponse

Le propriétaire de la marque Anker a finalement répondu à la preuve d’une violation majeure de la sécurité de la caméra Eufy, mais sa déclaration officielle laisse encore de nombreuses questions sans réponse.

La société a maintenant admis avoir menti aux utilisateurs sur le fait que toutes les séquences et images étaient stockées localement et jamais envoyées dans le cloud, après qu’un chercheur en sécurité ait prouvé que ce n’était pas vrai…

Arrière plan

L’ajout de la technologie de reconnaissance faciale est l’un des développements les plus importants dans le domaine des caméras de sécurité résidentielles grand public. Plutôt que de simplement identifier un mouvement, la caméra peut faire la différence entre une personne et, par exemple, un animal de compagnie. De plus, la reconnaissance faciale l’empêche d’envoyer des alertes de sécurité inutiles lorsqu’un membre connu du ménage est repéré.

La plupart des technologies de reconnaissance faciale sont exécutées sur des serveurs cloud, mais Anker a déclaré que ses caméras Eufy le font sur les appareils eux-mêmes, sans qu’il soit nécessaire d’envoyer des images vers le cloud. Le site Web de l’entreprise indique toujours sans équivoque qu’elle n’envoie pas de données dans le cloud.

Pas de nuages ​​ou de coûts. Cela indique que personne d’autre que vous n’a accès à vos données.

Violation de la sécurité de la caméra Eufy

Paul Moore a récemment fourni la preuve que la déclaration de confidentialité d’Anker n’est pas vraie.

Moore montre la preuve que les caméras Eufy envoient des données censées être «stockées localement» dans le cloud, même lorsque le stockage dans le cloud est désactivé […]

La caméra de la sonnette téléchargeait les données de reconnaissance faciale de la caméra vers les serveurs cloud d’Eufy avec des informations identifiables jointes, et que ces données n’étaient pas réellement supprimées des serveurs d’Eufy lorsque les images associées avaient été supprimées de l’application Eufy. Dans la vidéo ci-dessous, Moore note également qu’Eufy a utilisé les données de reconnaissance faciale de deux caméras différentes sur deux comptes complètement différents pour lier les données de chacun, et souligne qu’Eufy n’informe jamais l’utilisateur que cela se produit – le marché de l’entreprise implique plutôt juste L’opposé.

Pire encore, un autre utilisateur a découvert qu’il était possible de visionner des séquences vidéo en direct non cryptées sans authentification.

En utilisant simplement le populaire lecteur multimédia VLC, un utilisateur a pu accéder au flux d’une caméra, et Paul Moore a confirmé (mais sans montrer comment cela fonctionne) que les flux sont accessibles sans cryptage ni authentification.

Le bord en plus l’a confirmé.

La société admet en partie les problèmes

Anker a publié cette semaine un article de blog fournissant une admission partielle des problèmes, tout en affirmant qu’aucune donnée utilisateur n’avait été exposée (nous soulignons) :

« eufy Security utilise le cloud pour envoyer des notifications push mobiles aux utilisateurs »

C’est vrai. Comme mentionné précédemment, eufy Security s’engage à réduire autant que possible l’utilisation du cloud dans nos processus de sécurité. Cependant, certains processus nous obligent encore aujourd’hui à utiliser notre serveur AWS sécurisé.

Par exemple, dans le cas des notifications push de sécurité – lorsque l’utilisateur a choisi d’inclure une vignette avec cette notification de sécurité – une petite image d’aperçu de l’événement de sécurité est envoyée à notre serveur AWS sécurisé, puis transmise au téléphone de l’utilisateur. Cette image est protégée par un cryptage de bout en bout et est supprimée peu de temps après l’envoi de la notification push. Ce processus est également conforme à toutes les normes de l’industrie.

Il a également reconnu les faiblesses de son portail Web, tout en niant que des données d’utilisateurs aient été exposées.

Aucune donnée utilisateur n’a été exposée et les failles de sécurité potentielles discutées en ligne sont spéculatives. Cependant, nous convenons qu’il y avait des domaines clés à améliorer. Nous avons donc fait [authentication] changements.

La société continue de nier que les données de reconnaissance faciale soient envoyées dans le cloud.

De nombreuses questions restent sans réponse

Le bord dit que la déclaration laisse un grand nombre de questions sans réponse, à commencer par la principale :

Pourquoi n’importe qui pourrait voir un flux non crypté dans VLC Media Player de l’autre côté du pays, à partir d’une caméra supposée toujours locale, toujours cryptée de bout en bout.

Le site a envoyé à Anker une longue liste de questions supplémentaires :

Pourquoi vos caméras soi-disant cryptées de bout en bout produisent-elles des flux non cryptés ?

Dans quelles circonstances la vidéo est-elle réellement cryptée ?

D’autres parties du service d’Eufy reposent-elles sur des flux non chiffrés, tels que le portail Web de bureau d’Eufy ?

Combien de temps un flux non chiffré est-il accessible ?

Existe-t-il des modèles d’appareils photo Eufy qui ne pas transmettre des flux non cryptés ?

Eufy désactivera-t-il complètement la transmission de flux non chiffrés ? Quand? Comment? Si non, pourquoi pas ?

Sinon, Eufy divulguera-t-il à ses clients que leurs flux ne sont pas toujours cryptés de bout en bout ? Quand et où?

Eufy a-t-il changé les URL de flux en quelque chose de plus difficile à désosser ? Sinon, Eufy le fera-t-il ? Quand?

Les flux non chiffrés sont-ils toujours accessibles lorsque les caméras utilisent HomeKit Secure Vidéo ?

Est-il vrai que « [email protected] » est une véritable clé de cryptage ? Si ce n’est pas le cas, pourquoi cela apparaît-il dans votre code étiqueté comme une clé de chiffrement et apparaît-il dans un référentiel GitHub à partir de 2019 ?

Au-delà des vignettes et des flux non cryptés, existe-t-il d’autres données privées ou éléments d’identification auxquels les caméras d’Eufy permettent l’accès via le cloud ?

Au-delà de l’exploitation potentielle d’un flux non crypté, y a-t-il d’autres choses que les serveurs d’Eufy peuvent dire à distance à une caméra de faire ?

Qu’est-ce qui empêche les employés d’Eufy et d’Anker d’exploiter ces flux ?

Quelles autres mesures spécifiques Eufy prendra-t-elle pour assurer sa sécurité et rassurer ses clients ?

Anker a-t-il engagé des sociétés de sécurité indépendantes pour effectuer un audit de ses pratiques suite à ces divulgations ? Lequel?

Anker offrira-t-il des remboursements aux clients qui ont acheté des caméras sur la base de l’engagement de confidentialité d’Eufy ?

Pourquoi Anker a-t-il dit à The Verge qu’il n’était pas possible de voir le flux non chiffré dans une application comme VLC ?

Eufy partage-t-il des enregistrements vidéo avec les forces de l’ordre ?

Ce n’est pas la première fois que des tiers ont pu voir des flux vidéo prétendument cryptés de bout en bout à partir de caméras Eufy : la même chose s’est produite en mai de l’année dernière.


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :