ما تحتاج إلى معرفته
- اكتشف الباحث الأمني بول مور العديد من الثغرات الأمنية في كاميرات Eufy.
- يتم إرسال صور المستخدم وبيانات التعرف على الوجه إلى السحابة دون موافقة المستخدم ، ويمكن الوصول إلى موجزات الكاميرا الحية دون أي مصادقة.
- يقول مور إنه تم تصحيح بعض المشكلات منذ ذلك الحين ولكن لا يمكنه التحقق من حذف البيانات السحابية بشكل صحيح.
- أكد دعم Eufy بعض المشكلات واتخذ Moore إجراءات قانونية ضد Eufy بسبب انتهاك محتمل للائحة العامة لحماية البيانات (GDPR).
تحديث Nov 29 11:32 am: تمت إضافة رد بول مور على Android Central.
لسنوات ، تفخر Eufy Security بشعارها المتمثل في حماية خصوصية المستخدم ، في المقام الأول من خلال تخزين مقاطع الفيديو والبيانات الأخرى ذات الصلة محليًا فقط. لكن باحثًا أمنيًا يشكك في هذا ، مستشهدا بالأدلة التي تظهر أن بعض كاميرات Eufy تقوم بتحميل الصور وصور التعرف على الوجه وغيرها من البيانات الخاصة إلى خوادمها السحابية دون موافقة المستخدم.
أ سلسلة التغريدات (يفتح في علامة تبويب جديدة) من مستشار أمن المعلومات بول مور يبدو أنه أظهر كاميرا Eufy Doorbell Dual تقوم بتحميل بيانات التعرف على الوجه إلى سحابة Eufy’s AWS بدون تشفير. يوضح مور أنه يتم تخزين هذه البيانات جنبًا إلى جنب مع اسم مستخدم محدد ومعلومات أخرى يمكن التعرف عليها. إضافة إلى ذلك ، يقول مور إنه يتم الاحتفاظ بهذه البيانات على خوادم Eufy المستندة إلى Amazon حتى عندما يتم “حذف” اللقطات من تطبيق Eufy.
علاوة على ذلك ، يزعم مور أنه يمكن دفق مقاطع الفيديو من الكاميرات عبر متصفح الويب عن طريق إدخال عنوان URL الصحيح وأنه لا يلزم وجود معلومات مصادقة لعرض مقاطع الفيديو المذكورة. يُظهر مور دليلاً على أن مقاطع الفيديو من كاميرات Eufy المشفرة بتشفير AES 128 تتم فقط باستخدام مفتاح بسيط بدلاً من سلسلة عشوائية مناسبة. في المثال ، تم تخزين مقاطع فيديو Moore باستخدام “ZXSecurity17Cam @” كمفتاح تشفير ، وهو أمر يمكن اختراقه بسهولة من قبل أي شخص يريد حقًا لقطاتك.
كان مور على اتصال بدعم Eufy وقد أكدوا الأدلة ، مشيرين إلى أن هذه التحميلات تحدث للمساعدة في الإخطارات والبيانات الأخرى. لا يبدو أن الدعم قد قدم سببًا وجيهًا لإرفاق بيانات المستخدم القابلة للتحديد أيضًا بالصور المصغرة ، مما يفتح ثغرة أمنية كبيرة للآخرين للعثور على بياناتك باستخدام الأدوات المناسبة.
يقول مور إن Eufy قام بالفعل بتصحيح بعض المشكلات ، مما يجعل من المستحيل التحقق من حالة البيانات السحابية المخزنة ، وأصدر البيان التالي:
“لسوء الحظ (أو لحسن الحظ ، كيفما نظرت إليه) ، قام Eufy بالفعل بإزالة مكالمة الشبكة وشفر الآخرين بشدة لجعل اكتشافه شبه مستحيل ؛ لذلك لم تعد PoCs السابقة تعمل. قد تتمكن من الاتصال بنقطة النهاية المحددة يدويًا باستخدام الحمولات المعروضة ، والتي قد تستمر في إرجاع نتيجة “.
تجري مناقشة Android Central مع كل من Eufy و Paul Moore وسيواصل تحديث هذه المقالة مع تطور الموقف. تابع القراءة إذا كنت تريد معرفة المزيد حول ما فعله مور في بحثه حول المشكلات الأمنية المحتملة لـ Eufy.
أنا شخصياً لدي العديد من كاميرات Eufy في منزلي وقمت بمراجعة العديد منها لنظام Android Central في الماضي. في الوقت الحالي ، ليس من الواضح الكاميرات التي قد تؤثر عليها مشكلة الأمان هذه.
باتباع خطوات Moore أدناه ، لم أتمكن من تكرار المشكلة مع كاميرات eufyCam 3 الخاصة بي التي تعمل خارج Eufy HomeBase 3. تتصل هذه الكاميرات مباشرة بـ HomeBase بدلاً من Wi-Fi. لهذا السبب ، تكون بيانات الحدث مرئية فقط في تطبيق Eufy وليس عبر بوابة الويب كما هو موضح في إثبات Moore لمقاطع الفيديو المفاهيمية أدناه.
تبيع Eufy كاميرات أخرى مثل خط eufyCam Solo وأجراس أبواب Eufy التي تتصل مباشرة بالإنترنت بدلاً من لوحة وصل HomeBase. من المرجح أن تتأثر هذه المنتجات.
كيف حدث ذلك
تبيع Eufy نوعين رئيسيين من الكاميرات: الكاميرات التي تتصل مباشرة بشبكة Wi-Fi في منزلك ، والكاميرات التي تتصل فقط بقاعدة Eufy HomeBase عبر اتصال لاسلكي محلي.
تم تصميم Eufy HomeBase لتخزين لقطات كاميرا Eufy محليًا عبر محرك أقراص ثابت داخل الوحدة. ولكن ، حتى إذا كان لديك HomeBase في منزلك ، فإن شراء SoloCam أو Doorbell الذي يتصل مباشرة بشبكة Wi-Fi سيخزن بيانات الفيديو الخاصة بك على كاميرا Eufy نفسها بدلاً من HomeBase.
في حالة Paul Moore ، كان يستخدم Eufy Doorbell Dual الذي يتصل مباشرة بشبكة Wi-Fi ويتجاوز HomeBase. إليكم أول فيديو له حول هذه القضية ، نُشر في 23 نوفمبر 2022.
يوضح مور في الفيديو كيف يقوم Eufy بتحميل كل من الصورة الملتقطة من الكاميرا وصورة التعرف على الوجه. علاوة على ذلك ، يوضح أن صورة التعرف على الوجه مخزنة جنبًا إلى جنب مع عدة أجزاء من البيانات الوصفية ، اثنتان منها تتضمن اسم المستخدم الخاص به (owner_ID) ومعرف مستخدم آخر ومعرف وجهه المحفوظ والمخزن (AI_Face_ID).
ما يزيد الأمور سوءًا هو أن Moore يستخدم كاميرا أخرى لإطلاق حدث متحرك ، ثم يفحص البيانات المنقولة إلى خوادم Eufy في سحابة AWS. يقول مور إنه استخدم كاميرا مختلفة ، واسم مستخدم مختلف ، وحتى قاعدة رئيسية مختلفة “لتخزين” اللقطات محليًا ، إلا أن Eufy كان قادرًا على تمييز وربط معرف الوجه بصورته.
هذا يثبت أن Eufy يخزن بيانات التعرف على الوجه هذه في السحابة الخاصة به ، علاوة على ذلك ، يسمح للكاميرات بالتعرف بسهولة على الوجوه المخزنة على الرغم من أنها ليست مملوكة للأشخاص الموجودين في تلك الصور. لدعم هذا الادعاء ، سجل مور مقطع فيديو آخر له وهو يحذف المقاطع ويثبت أن الصور لا تزال موجودة على خوادم Eufy AWS.
بالإضافة إلى ذلك ، يقول مور إنه كان قادرًا على بث لقطات حية من كاميرا جرس الباب الخاصة به دون أي مصادقة ، لكنه لم يقدم دليلًا عامًا على المفهوم بسبب احتمال إساءة استخدام التكتيك إذا كان سيتم نشره على الملأ. لقد أبلغ Eufy مباشرة واتخذ منذ ذلك الحين إجراءات قانونية لضمان امتثال Eufy.
في الوقت الحالي ، يبدو هذا سيئًا جدًا بالنسبة لـ Eufy. لقد وقفت الشركة ، لسنوات ، وراء الاحتفاظ ببيانات المستخدم محلية وعدم تحميلها على السحابة مطلقًا. بينما يوفي ايضا لديه خدمات سحابية ، لا ينبغي تحميل أي بيانات إلى السحابة ما لم يسمح المستخدم على وجه التحديد بمثل هذه الممارسة.
علاوة على ذلك ، فإن تخزين معرفات المستخدم وغيرها من البيانات الشخصية إلى جانب صورة لوجه الشخص يعد انتهاكًا أمنيًا هائلاً ، في الواقع. بينما قام Eufy منذ ذلك الحين بتصحيح القدرة على العثور بسهولة على عناوين URL والبيانات الأخرى التي يتم إرسالها إلى السحابة ، لا توجد حاليًا طريقة للتحقق من أن Eufy يواصل أو لا يستمر في تخزين هذه البيانات في السحابة دون موافقة المستخدم.
“معجب بوسائل التواصل الاجتماعي. باحث شغوف بثقافة البوب. محلل. لحم مقدد. عاشق شرير للطعام.”