Les caméras de sécurité à domicile se sont beaucoup améliorées ces dernières années, mais la sécurité de vos images a toujours été une préoccupation. La marque Eufy d’Anker prétend conserver les données locales, mais un chercheur en sécurité a révélé que cette affirmation est loin d’être vraie, les images allant non seulement dans le cloud, mais restant visibles même après leur suppression.
Eufy vend plusieurs de ses caméras de sécurité avec la promesse que les séquences vidéo et autres données sont uniquement locales, en disant explicitement « personne d’autre que vous n’a accès à vos données » sur son site internet.
Paul Moore, chercheur en sécurité, publié sur Twitter la semaine dernière une situation de sécurité effrayante avec les produits de sécurité à domicile Eufy, y compris les sonnettes équipées de caméras. Dans le fil de discussion et les vidéos qui l’accompagnent, Moore montre la preuve que les caméras Eufy envoient des données dites « stockées localement » dans le cloud, même lorsque le stockage dans le cloud est désactivé.
Le trou de sécurité a été découvert pour la première fois sur la double caméra Doorbell d’Eufy qui utilise deux caméras pour voir à la fois les personnes marchant jusqu’à votre porte ainsi que votre porte où les colis peuvent être laissés.
La caméra de la sonnette téléchargeait les données de reconnaissance faciale de la caméra vers les serveurs cloud d’Eufy avec des informations identifiables jointes, et que ces données n’étaient pas réellement supprimées des serveurs d’Eufy lorsque les images associées avaient été supprimées de l’application Eufy. Dans la vidéo ci-dessous, Moore note également qu’Eufy a utilisé les données de reconnaissance faciale de deux caméras différentes sur deux comptes complètement différents pour lier les données de chacun, et souligne qu’Eufy n’informe jamais l’utilisateur que cela se produit – le marché de l’entreprise implique plutôt juste L’opposé.
On ne sait pas combien de caméras et de produits de sécurité domestique d’Eufy sont concernés par cela. Centrale Android a pu reproduire les mêmes problèmes de sécurité sur une EufyCam 3 couplée à une Eufy HomeBase 3.
Peut-être plus effrayantes étaient les découvertes d’un autre utilisateur selon lesquelles ces flux de séquences Eufy sont accessibles via des flux non cryptés. En utilisant simplement le populaire lecteur multimédia VLC, un utilisateur a pu accéder au flux d’une caméra, et Paul Moore a confirmé (mais sans montrer comment cela fonctionne) que les flux sont accessibles sans cryptage ni authentification.
Mise à jour 12/1 : Le bord a en outre confirmé que le trou de sécurité VLC existe. Un responsable des relations publiques d’Anker a déclaré avec confiance « Je peux confirmer qu’il n’est pas possible de démarrer un flux et de regarder des images en direct à l’aide d’un lecteur tiers tel que VLC », tandis que Le bord était capable de faire exactement cela.
La publication note qu’elle avait besoin d’une authentification pour accéder aux détails du flux à l’origine, mais les informations fonctionnent ensuite sans autre authentification. Ils ont pu diffuser de la vidéo tant que la caméra était éveillée, c’est-à-dire lorsqu’elle enregistrait un clip après avoir détecté un mouvement ou être visionnée en direct par son propriétaire. Il est également noté que l’URL qui accède à ces flux comprend un horodatage Unix, un jeton aléatoire qui n’est validé à aucun moment, un code hexadécimal à quatre chiffres aléatoire qui pourrait « facilement être brutalement forcé », et des informations basées sur votre numéro de série de la caméra.
Paul Moore, le chercheur qui a d’abord mis en lumière ce problème, a également partagé avec la publication qu’il avait entamé des poursuites judiciaires contre Anker.
Eufy n’a pas encore répondu publiquement à ces affirmations, mais les preuves sont assez claires à ce stade, et il s’agit d’une défaillance de sécurité massive en plus de mensonges directs aux clients. Moore a reçu un e-mail d’Eufy dans lequel l’entreprise a tenté d’expliquer le comportement montré, bien que Moore a raisonné que la plupart des réponses de l’entreprise minimisaient la gravité du problème.
Moore proposé une mise à jour à la situation d’hier, affirmant qu’Eufy a supprimé « l’appel en arrière-plan » qui montre les images stockées, mais pas les images sous-jacentes, et que la société a également crypté d’autres appels pour couvrir ses traces.
L’avis de 9to5Google
Ouais.
