Σύμφωνα με μια πρόσφατη αναφορά, η κάμερα ασφαλείας Anker Eufy στέλνει μη εξουσιοδοτημένα δεδομένα στο cloud.
Ορισμένες από τις δημοφιλείς κάμερες ασφαλείας της Anker με την επωνυμία Eufy φαίνεται να στέλνουν δεδομένα στο cloud, ακόμη και όταν οι χρήστες έχουν απενεργοποιήσει την αποθήκευση στο cloud και έχουν ενεργοποιήσει τις ρυθμίσεις αποθήκευσης μόνο τοπικά.
Οι κάμερες ασφαλείας Anker Eufy διαφημίζονται εδώ και καιρό ως προστατευτικές της ιδιωτικής ζωής των χρηστών, αποθηκεύοντας βίντεο και άλλα σχετικά δεδομένα τοπικά. Ωστόσο, ένας ερευνητής ασφαλείας εγείρει υποψίες ότι ορισμένες κάμερες Anker Eufy στην πραγματικότητα μεταφορτώνουν φωτογραφίες, εικόνες αναγνώρισης προσώπου και άλλα προσωπικά δεδομένα στους διακομιστές cloud χωρίς τη γνώση ή τη συγκατάθεση του χρήστη.
Ο Paul Moore ανακάλυψε ότι η Anker Eufy κάμερα μεταφορτώνει μικρογραφίες των προσώπων των χρηστών καθώς και προσωπικές πληροφορίες στην αποθήκευση στο cloud, ακόμη και όταν ο χρήστης δεν έχει ενεργοποιήσει τη λειτουργία cloud.
Δείτε επίσης: Anker USB-C Docking Station: Υποστήριξη τριπλής οθόνης σε M1 Mac
Ο Moore επιδεικνύει τη μη εξουσιοδοτημένη μεταφόρτωση στο cloud επιτρέποντας στην Anker Eufy κάμερά του να καταγράψει την εικόνα του και απενεργοποιώντας το Eufy HomeBase. Ο ιστότοπος εξακολουθεί να έχει πρόσβαση στο περιεχόμενο μέσω της ενσωμάτωσης στο cloud, παρόλο που ο Moore δεν είχε εγγραφεί για την υπηρεσία cloud, ενώ το περιεχόμενο παραμένει προσβάσιμο ακόμα και όταν το υλικό αφαιρείται από την εφαρμογή Eufy. Σημειώστε ότι το πλήρες βίντεο ροής δεν φαίνεται να μεταφορτώνεται αυτόματα στο Cloud – μάλλον οι μικρογραφίες των λήψεων είναι αυτές που μεταφορτώνονται.
Οι μικρογραφίες αποθηκεύονται στην εφαρμογή Eufy και χρησιμοποιούνται για την έναρξη της ροής βίντεο από το Eufy HomeBase. Αυτό επιτρέπει στους χρήστες να παρακολουθούν τα βίντεό τους όταν βρίσκονται εκτός σπιτιού, καθώς και για την αποστολή ειδοποιήσεων με φωτογραφίες. Το πρόβλημα είναι ότι ακόμη και όταν η λειτουργία cloud είναι απενεργοποιημένη, οι μικρογραφίες εξακολουθούν να μεταφορτώνονται αυτόματα – συμπεριλαμβανομένων των δεδομένων αναγνώρισης προσώπου. Τα δεδομένα αυτά περιλάμβαναν και συγκεκριμένες πληροφορίες αναγνώρισης, όπως το όνομα χρήστη και την τοποθεσία. Ως απόδειξη, ο Moore δείχνει τις κάμερες Anker Eufy που κρυπτογραφούνται μόνο με κρυπτογράφηση AES 128 και ένα απλό κλειδί αντί για μια κατάλληλη τυχαία συμβολοσειρά. Στο παράδειγμα που δόθηκε, τα βίντεο του Moore αποθηκεύτηκαν με το “ZXSecurity17Cam@” ως κλειδί κρυπτογράφησης – κάτι που θα μπορούσε εύκολα να σπάσει οποιοσδήποτε θέλει πολύ το υλικό σας.
Από την στιγμή που ο ιστότοπος της Eufy διακηρύσσει “Χωρίς cloud”, ορισμένοι χρήστες είναι δυσαρεστημένοι με την πρόσφατη πρωτοβουλία της εταιρείας για μη εξουσιοδοτημένες μεταφορτώσεις στο cloud. Στο παρελθόν, αυτή η λύση κάμερας με γνώμονα την προστασία της ιδιωτικής ζωής ήταν μια δημοφιλής επιλογή μεταξύ εκείνων που θέλουν να αποφύγουν τις υπηρεσίες αποθήκευσης τρίτων.
Ο Moore ισχυρίζεται ότι η Eufy μπορεί να συνδέσει δεδομένα αναγνώρισης προσώπου από δύο διαφορετικές κάμερες και εφαρμογές με τους χρήστες χωρίς να το γνωρίζουν οι κάτοχοι των καμερών.
Πολλοί άλλοι χρήστες του Anker Eufy απάντησαν στο tweet του Moore, βλέποντας το ίδιο πρόβλημα. Υπάρχει επίσης ένα ειδικό νήμα στο Reddit που συζητά αυτό το πρόβλημα. Ο Moore όχι μόνο δοκίμασε την κάμερα κουδουνιού της Eufy, αλλά διαπίστωσε ότι έτσι φαίνεται να λειτουργούν όλες οι κάμερες της Eufy. Όπως έδειξε ο Moore, μόλις συνδεθείτε, μπορείτε να έχετε πρόσβαση στις εικόνες μέσω μιας απλής διεύθυνσης URL – κάτι που αποτελεί σημαντικό πρόβλημα ασφάλειας για όποιον χρησιμοποιεί αυτά τα προϊόντα. Ακόμη και μετά το tweet του Moore, η Eufy αφαίρεσε μόνο το background call που αποκαλύπτει τις αποθηκευμένες εικόνες – όχι το ίδιο το υλικό.
Σε απάντηση στον Moore, η Eufy δήλωσε ότι ενώ οι λίστες συμβάντων και οι μικρογραφίες μεταφορτώνονται στο AWS, τα δεδομένα είναι ασφαλή και δεν μπορούν να “διαρρεύσουν στο κοινό”, επειδή η διεύθυνση URL είναι ελεγχόμενη, χρονικά περιορισμένη και απαιτεί σύνδεση λογαριασμού.
Δείτε επίσης: UK: Απαγορεύει την χρήση των κινεζικών καμερών παρακολούθησης Hikvision σε govt sites
Επιπλέον, ο Moore σημείωσε ότι το υλικό της κάμερας Anker Eufy μπορεί να μεταδοθεί σε ζωντανή ροή χρησιμοποιώντας μια εφαρμογή όπως το VLC, αν και ελάχιστες λεπτομέρειες σχετικά με την εκμετάλλευση είναι προς το παρόν δημόσιες. Χωρίς κρυπτογράφηση, ο Moore επεσήμανε ότι ο καθένας μπορεί να έχει πρόσβαση στο περιεχόμενο της κάμερας Eufy χωρίς να χρειάζεται να περάσει από οποιαδήποτε διαδικασία ελέγχου ταυτότητας – κάτι που σίγουρα θα ανησυχήσει τους χρήστες της Eufy.
Ο Moore δήλωσε ότι βρίσκεται σε επικοινωνία με το νομικό τμήμα της Eufy και θα τους δώσει χρόνο να “ερευνήσουν και να λάβουν τα κατάλληλα μέτρα” πριν προβούν σε οποιαδήποτε πρόσθετα σχόλια.
Η Anker παρείχε μια δήλωση στο MacRumors, εξηγώντας γιατί συλλέγονται οι εικόνες και πώς θα αντιμετωπιστεί το ζήτημα στο μέλλον.
Η Eufy Security δημιουργήθηκε ως ένα τοπικό σύστημα οικιακής ασφάλειας. Αυτό σημαίνει ότι όλα τα βίντεο αποθηκεύονται και κρυπτογραφούνται στη συσκευή του χρήστη και όχι στο cloud. Η τεχνολογία αναγνώρισης προσώπου του Eufy Security επεξεργάζεται και αποθηκεύει επίσης πληροφορίες τοπικά στη συσκευή του χρήστη. Προκειμένου να διασφαλίσουμε ότι συμμορφωνόμαστε πλήρως με τα πρότυπα GDPR, τα προϊόντα και οι υπηρεσίες μας περνούν από διάφορες διαδικασίες, συμπεριλαμβανομένης της πιστοποίησης ISO 27701/27001 και της συμμόρφωσης ETSI 303645. Αυτό μας βοηθά να προστατεύουμε τα δεδομένα σας και να τα διατηρούμε ασφαλή. Οι λύσεις ασφαλείας μας χρησιμοποιούν ειδοποιήσεις push για να ειδοποιούν τους χρήστες για δραστηριότητες στις κινητές συσκευές τους. Για να δημιουργήσουμε αυτές τις προεπισκοπήσεις, φιλοξενούμε σύντομα, κρυπτογραφημένα βίντεο σε έναν διακομιστή cloud που βασίζεται στην AWS. - - Σύμφωνα με τα πρότυπα της υπηρεσίας Apple Push Notification και του Firebase Cloud Messaging, αυτά τα βίντεο διαγράφονται αυτόματα αφού δεν χρειάζονται πλέον. Οι χρήστες πρέπει να συνδεθούν στο λογαριασμό τους στο Eufy Security για να έχουν πρόσβαση ή να μοιραστούν τις προεπισκοπήσεις βίντεο. Παρόλο που η εφαρμογή Eufy Security επιτρέπει στους χρήστες να λαμβάνουν ειδοποιήσεις push με βάση το κείμενο ή τις μικρογραφίες, η επιλογή ειδοποιήσεων με βάση τις μικρογραφίες απαιτεί τη φιλοξενία εικόνων προεπισκόπησης στο cloud για σύντομο χρονικό διάστημα. Λυπούμαστε για την παρεξήγηση και έχουμε ένα σχέδιο για να βελτιώσουμε τα πράγματα στο μέλλον. Αυτά θα κάνουμε με διαφορετικό τρόπο: 1) Αντιλαμβανόμαστε ότι η τρέχουσα αναφορά για τις ειδοποιήσεις push στην εφαρμογή Eufy Security είναι ασαφής και θα μπορούσε να παρερμηνευτεί. Για να το διορθώσουμε αυτό, αλλάζουμε τη διατύπωση για να εξηγήσουμε καλύτερα ότι οι ειδοποιήσεις push με προεπισκόπηση μικρογραφιών opt-in απαιτούν την προσωρινή αποθήκευση των εικόνων στο cloud. 2) Στο υλικό μάρκετινγκ το οποίο χρησιμοποιούμε για να απευθυνόμαστε στους καταναλωτές, θα αναφέρουμε με μεγαλύτερη σαφήνεια τη χρήση του cloud για τις ειδοποιήσεις push. Η Eufy Security εκτιμά το απόρρητο και την προστασία των δεδομένων των χρηστών της και είμαστε ευγνώμονες στην κοινότητα των ερευνητών ασφαλείας που μας έθεσαν υπόψη αυτό το ζήτημα.
Η Anker Eufy Security ανέφερε παραπάνω ότι τα προϊόντα τους ακολουθούν το GDPR. Η πιστοποίηση GDPR απαιτεί από τις εταιρείες να αποδεικνύουν στην ΕΕ την ασφάλεια και τη διαχείριση των δεδομένων. Η πιστοποίηση δεν σημαίνει μια εύκολη διαδικασία έγκρισης από ένα διοικητικό όργανο, αλλά αντίθετα ρυθμίζεται από την ICO.
Έχοντας ρυθμίσει τις ειδοποιήσεις της Anker Eufy κάμερας να είναι μόνο με κείμενο, δεν θα δημιουργηθεί ούτε θα μεταφορτωθεί αυτόματα καμία μικρογραφία. Οπότε αν έχετε μια τέτοια κάμερα, ίσως αυτή η ρύθμιση είναι η καλύτερη επιλογή.
Επί του παρόντος, αυτό φαίνεται πολύ κακό για την Eufy. Η εταιρεία έχει χτίσει τη φήμη της μόνο με την τοπική αποθήκευση των δεδομένων των χρηστών και ποτέ με τη μεταφόρτωσή τους στο σύννεφο. Παρόλο που η Eufy διαθέτει κάποιες υπηρεσίες cloud, κανένα δεδομένο δεν πρέπει να μεταφορτώνεται χωρίς τη ρητή άδεια του χρήστη.
Πηγή: macrumors.com
