Сегодня 05 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → eufy

Камеры и видеодомофоны Anker Eufy передают данные по незащищённым каналам — производитель раскаялся и пообещал исправиться

Эксперты по кибербезопасности обнаружили, что камеры наблюдения и видеодомофоны Eufy — суббренда китайской Anker Innovations — транслируют часть контента в облако по незашифрованным каналам, где они бесконтрольно хранятся до 24 часов.

 Источник изображений: eufylife.com

Источник изображений: eufylife.com

Согласно заявлениям Eufy, данные с камер транслируются только на локальный блок HomeBase, который хранится в доме владельца системы. В блоке HomeBase есть жёсткий диск, на котором хранятся отснятые материалы, а доступ к ним можно получить через приложение Eufy или веб-портал компании. Производитель заверяет, что эти данные защищены сквозным шифрованием, открыть их можно только при наличии непубличного ключа, привязанного к учётной записи пользователя.

Последняя версия системы HomeBase 3 при помощи алгоритмов машинного обучения распознаёт транспортные средства, домашних животных и людей на видеозаписях — и снова производитель уверяет, что анализ изображения производится локально. Может быть, это и так, но результаты этого анализа обнаруживаются на серверах Eufy в инфраструктуре Amazon Web Services.

Купив видеодомофон Eufy, эксперт по вопросам кибербезопасности Пол Мур (Paul Moore) обнаружил, что в исходном коде страниц на веб-портале производителя в открытом виде содержатся URL-адреса незашифрованных изображений в облаке производителя. Эти изображения остаются доступными по прямым ссылкам даже после отключения блока HomeBase от интернета, удаления исходных кадров из локального хранилища и даже удаления всей учётной записи пользователя.

Для каждой сохранённой на Eufy HomeBase видеозаписи в облаке создаётся изображение предварительного просмотра, там же оказываются снимки всех распознанных системой лиц, к которым привязываются уникальные идентификаторы. И это явным образом противоречит заявлению производителя, что «ваши персональные данные никогда не покидают пределов вашего дома». В реальности адреса всех этих изображений обнаруживаются в виде открытого текста, а картинку с камер Eufy можно смотреть в реальном времени без аутентификации. И это тоже не соответствует заявлениям производителя о сквозном шифровании данных.

В компании отреагировали на эти открытия, посетовав на «недостаток связи [с общественностью]» — людям «не разъяснили, что выбор уведомлений с эскизами требует кратковременного размещения изображений предпросмотра в облаке». По информации Eufy, эти изображения автоматически удаляются через какое-то время, хотя эксперты указали на 24-часовой срок. Компания также пообещала обеспечить шифрование API, соединяющего веб-портал с облаком производителя, что исключит передачу URL-адресов в открытом виде. Наконец, производитель сообщил о намерении обновить тексты инструкций, в явном виде указав, что при настройках уведомлений с эскизами изображения для предварительного просмотра загружаются в облако.


window-new
Soft
Hard
Тренды 🔥
Вышла вторая бета iOS 18.2 — Siri с ChatGPT Plus, улучшенный «Локатор» и другие изменения 6 мин.
«Яндекс», подвинься: VK начнёт предустанавливать свои сервисы на автомобили в России 33 мин.
Система управления уязвимостями Security Vision Vulnerability Management получила крупное обновление 54 мин.
Meta оштрафовали в Южной Корее на $15 млн за незаконный сбор пользовательских данных 57 мин.
Ubisoft поделилась деталями самого крупного обновления для Star Wars Outlaws и сменила творческого руководителя игры 2 ч.
Хакер заявил о краже исходного кода Nokia — компания расследует инцидент 5 ч.
Dragon Age: The Veilguard испортит фанатам Mass Effect день N7 6 ч.
Apple позволит назначить «Google Карты» навигационным приложением по умолчанию, но не всем пользователям 7 ч.
Спустя 20 лет в легендарную демоверсию Halo 2 с E3 2003 можно будет поиграть самому, причём очень скоро 8 ч.
Календарь релизов 4 – 10 ноября: Empire of the Ants, Metal Slug Tactics и Metro Awakening 8 ч.