Сегодня 05 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → eufy

Камеры и видеодомофоны Anker Eufy передают данные по незащищённым каналам — производитель раскаялся и пообещал исправиться

Эксперты по кибербезопасности обнаружили, что камеры наблюдения и видеодомофоны Eufy — суббренда китайской Anker Innovations — транслируют часть контента в облако по незашифрованным каналам, где они бесконтрольно хранятся до 24 часов.

 Источник изображений: eufylife.com

Источник изображений: eufylife.com

Согласно заявлениям Eufy, данные с камер транслируются только на локальный блок HomeBase, который хранится в доме владельца системы. В блоке HomeBase есть жёсткий диск, на котором хранятся отснятые материалы, а доступ к ним можно получить через приложение Eufy или веб-портал компании. Производитель заверяет, что эти данные защищены сквозным шифрованием, открыть их можно только при наличии непубличного ключа, привязанного к учётной записи пользователя.

Последняя версия системы HomeBase 3 при помощи алгоритмов машинного обучения распознаёт транспортные средства, домашних животных и людей на видеозаписях — и снова производитель уверяет, что анализ изображения производится локально. Может быть, это и так, но результаты этого анализа обнаруживаются на серверах Eufy в инфраструктуре Amazon Web Services.

Купив видеодомофон Eufy, эксперт по вопросам кибербезопасности Пол Мур (Paul Moore) обнаружил, что в исходном коде страниц на веб-портале производителя в открытом виде содержатся URL-адреса незашифрованных изображений в облаке производителя. Эти изображения остаются доступными по прямым ссылкам даже после отключения блока HomeBase от интернета, удаления исходных кадров из локального хранилища и даже удаления всей учётной записи пользователя.

Для каждой сохранённой на Eufy HomeBase видеозаписи в облаке создаётся изображение предварительного просмотра, там же оказываются снимки всех распознанных системой лиц, к которым привязываются уникальные идентификаторы. И это явным образом противоречит заявлению производителя, что «ваши персональные данные никогда не покидают пределов вашего дома». В реальности адреса всех этих изображений обнаруживаются в виде открытого текста, а картинку с камер Eufy можно смотреть в реальном времени без аутентификации. И это тоже не соответствует заявлениям производителя о сквозном шифровании данных.

В компании отреагировали на эти открытия, посетовав на «недостаток связи [с общественностью]» — людям «не разъяснили, что выбор уведомлений с эскизами требует кратковременного размещения изображений предпросмотра в облаке». По информации Eufy, эти изображения автоматически удаляются через какое-то время, хотя эксперты указали на 24-часовой срок. Компания также пообещала обеспечить шифрование API, соединяющего веб-портал с облаком производителя, что исключит передачу URL-адресов в открытом виде. Наконец, производитель сообщил о намерении обновить тексты инструкций, в явном виде указав, что при настройках уведомлений с эскизами изображения для предварительного просмотра загружаются в облако.


window-new
Soft
Hard
Тренды 🔥
Владельца браузера Mozilla Firefox оштрафовали на 3,5 млн рублей 42 мин.
Хакер заявил о краже исходного кода Nokia — компания расследует инцидент 3 ч.
«Мы доработали игру полностью. И думаем о продолжении»: создатели «Смуты» раскрыли продажи боевика и смотрят в будущее 4 ч.
Apple позволит назначить «Google Карты» навигационным приложением по умолчанию, но не всем пользователям 5 ч.
Календарь релизов 4 – 10 ноября: Empire of the Ants, Metal Slug Tactics и Metro Awakening 6 ч.
Видеоредактор «Мовавика Видео» получил новую функцию: автосубтитры при помощи искусственного интеллекта 7 ч.
Microsoft запустила ИИ-техподдержку для Xbox 7 ч.
Netflix начнёт использовать генеративный ИИ для игр и удалит почти все интерактивные шоу 8 ч.
Instagram начнёт с помощью ИИ вычислять подростков, скрывающих свой возраст 8 ч.
«Не очень хорошо, но очень интересно»: критики вынесли вердикт экшен-хоррору Slitterhead от создателя Silent Hill 18 ч.