Jeden z badaczy odkrył luki w zabezpieczeniach kamer Eufy, które mogły bez zgody użytkowników przesyłać do chmury zdjęcia oraz dane związane z procesem rozpoznawania twarzy. Co na to Eufy?
Luki w bezpieczeństwie kamer Eufy?
Paul Moore, brytyjski badacz bezpieczeństwa, odnalazł kilka luk w oprogramowaniu kamer Eufy, które mogłyby narażać naszą prywatność. Skontaktował się w tej sprawie z producentem kamer, a także podjął decyzję o zgłoszeniu sprawy i podjęcia prawnych kroków w związku z możliwością naruszenia przez firmę RODO.
Firma zabrała głos w tej sprawie i przyznała, że część z problemów jest faktem, jednak już opracowała odpowiednie rozwiązania. Eufy przekazała również, że większość sytuacji opisanych przez badacza, nie nastąpi do momentu, gdy włączy się miniatury dla powiadomień pojawiających się w obrębie aparatu. Dlatego też konieczne jest przesyłanie zdjęć do chmury, natomiast żadne z nagrań nie jest automatycznie zapisywane w chmurze AWS.
Forma naruszenia prywatności
Sytuacja jest o tyle istotna, że Eufy chwali się, że od wielu lat stawia na ochronę prywatności i bezpieczeństwo użytkowników, twierdząc, że dane zapisywane są jedynie lokalnie. Jednak Moore, będący konsultantem ds. bezpieczeństwa informacji, neguje wszelkie zapewnienia producenta.
Badacz twierdzi również, że jeden z dzwonków do drzwi przesyła dane dotyczące rozpoznawania twarzy bez procesu szyfrowania, bezpośrednio do chmury. Ponadto, rejestrowane dane, udostępniane są chmurze wraz z danymi konkretnego użytkownika, co pozwala na łatwe zidentyfikowanie go. Co więcej, usunięcie przez użytkownika danych z chmury nie jest równoznaczne z ich trwałym zniszczeniem, gdyż, jak twierdzi Moore, dane przesyłane i przechowywane są wewnątrz serwera Amazon.
Ponadto, poziom zabezpieczeń dotyczący strumieniowego przesyłania zarejestrowanych filmów pozostawia wiele do życzenia. Okazuje się, że filmy z Eufy można w łatwy sposób odtwarzać w przeglądarce, po wprowadzeniu właściwego adresu URL oraz klucza, który jest zbyt łatwy, aby go nie odgadnąć.
Na ten moment firma zabezpieczyła i rozwiązała już część problemów, które zarzucił im konsultant, jednak nie wszystkie. Sytuacja firmy, jak i urządzeń, nie jest ciekawa, gdyż Moore udowodnił poważne naruszenia dotyczące bezpieczeństwa.
Aktualizacje sprawy związanej z bezpieczeństwem produktów Eufy
Firma na początku grudnia zdecydowała się wydać oświadczenie w sprawie, przyznając się do błędu dotyczącego niedopatrzenia z ich strony. Eufy ma w planach dokonać zmian w opcjach powiadomień push z informacją na temat tymczasowego przechowywania miniatur w chmurze. Ponadto materiały marketingowe, które firma udostępnia dla klientów będą zawierały informację na temat wykorzystania chmury i powiadomień push.
Artykuł został uzupełniony o oficjalne stanowisko Eufy z dnia 2.12.2022
19 grudnia Eufy ponownie zabiera głos w sprawie bezpieczeństwa i zarzucanych firmie luk w zabezpieczeniach. Producent przyznaje, że używa chmury do wysyłania powiadomień typu push i aktualizuje aplikację Eufy Security, umieszczając w niej szczegółowe wyjaśnienia i opcje, które dadzą użytkownikowi podjęcie świadomej decyzji.
Producent jednak nie zgadza się ze spekulacjami na temat luk w obrębie funkcji podglądu na żywo, jednak zastosował już poprawki w systemie bezpieczeństwa i zrezygnował z możliwości podglądu z kamer na żywo poza portalem eufy. Niemożliwe jest również udostępnianie linków do transmisji.
Eufy odrzuca również zarzut dotyczący przesyłania danych rozpoznawania twarzy do chmury i zaznacza, że wszystkie procesy związane z tą opcją realizowane są na urządzeniu danego użytkownika i nigdy nie są poddawane procesowi przetwarzania wewnątrz chmury. Firma jednak ma zamiar kontynuować opracowywanie ulepszeń zabezpieczeń w swoich urządzeniach i tworzonych systemach.
Artykuł został uzupełniony o oficjalne stanowisko Eufy z dnia 19.12.2022
