تقوم كاميرات Eufy “بلا غيوم” بتحميل صور مصغرة للوجه إلى AWS

أصبحت العلامة التجارية للمنزل الذكي Eufy التابعة لشركة Anker للتكنولوجيا مشهورة بين بعض مشتري كاميرات الأمان المهتمين بالخصوصية. أعلنت بفخر أن كاميرا جرس الباب والأجهزة الأخرى “بها”.لا غيوم أو تكاليف، “و” لا أحد غيرك يمكنك الوصول إلى بياناتك “.

هذا هو السبب في أن سلسلة من التغريدات ومقاطع الفيديو من مستشار الأمن والباحث بول مور أوضحت هذا الأسبوع أن كاميرات Eufy تقوم بتحميل صور مصغرة تحمل علامات الأسماء على الخوادم السحابية لتنبيه هواتف المالكين ، مما يجعل الأمر أكثر صعوبة بالنسبة لمنزل ذكي مشفر وعشاق الأمن هذا الأسبوع.

مورانطلقت في انجلترا طرح أسئلة بلاغية حول ممارساتها على Twitter من 21 نوفمبر. “التخزين المحلي الخاص بي” لماذا يقوم #doorbellDual بتخزين كل وجه على خوادمك بدون تشفير؟ # لماذا يمكنني بث الكاميرا بدون إذن ؟! “كود المصدر وردود API“يشير إلى أنه تم استخدام مفتاح AES ضعيف جدًا لتشفير مقطع الفيديو.

في 23 نوفمبر ، حمّل مور مقطع فيديو يوضح النتائج التي توصل إليها. مع بهجته الصفحة الرئيسية خلع ملابسه ، مشى مور أمام كاميرته. من مستعرض ويب متخفي ، يمكن لـ Moore التقاط صورة مصغرة له ، وصورة للخلاصة قبل أن يتم رصده مباشرةً ، و- ربما بالنظر أكثر من ذلك- وجهه وأرقام معرفته التي تم التعرف عليها والتي تشير إلى حالته كمالك للكاميرا.

بعد يوم واحد ، أبلغت لجنة الأوراق المالية والبورصات شركة الأمن يلخص عامين من تحليل EufyCam 2، يذكر نقلًا مشابهًا للصور المصغرة عبر سحابة Amazon Web Services. نظرت الشركة أيضًا في المفاتيح الضعيفة ، وأوصت “بمفاتيح التشفير / فك التشفير ذات التشفير الثابت لجميع أجهزة Homebase المباعة” ، على الرغم من عدم وضوح الغرض من استخدام المفاتيح.

أشارت SEC Consult إلى أن UFI قد عززت فجأة أمانها للمستخدمين منذ مايو 2021. منح حق الوصول الكامل تقريبًا إلى حسابات الآخرين. “ولكن لسوء الحظ ، يبدو أن جميع الصور المصغرة للصور المسجلة لا تزال تُنقل إلى AWS ، وبالتالي فإن الجهاز لا يفي بمتطلبات الخصوصية الخاصة بنا.” وقالت هيئة الأوراق المالية والبورصات إنها أثارت مسألة النتائج التي توصلت إليها بناءً على تغريدات مور [Black Friday] جنون التسوق قاب قوسين أو أدنى “.

نشر مور لاحقًا رد Yuffie على النتائج التي توصلت إليها، حيث يقول ممثل دعم Eufy أن الصور المصغرة يتم التحكم فيها عن طريق عمليات تسجيل الدخول إلى الحساب وأن عنوان URL “تنتهي صلاحيته في غضون 24 ساعة” ما لم يشاركه المستخدم. يلاحظ ممثل Eufy أن Eufy “لاحظ هذا من قبل” ويخطط لبناء صور مصغرة لمتجر Homebase 3 داخل الشركة أيضًا.

مور ايضا قال في وقت لاحق في تغريدة، تم وضع علامة في لقطة شاشة مستخدم آخر ، يمكنك تشغيل ومراقبة تدفقات كاميرا Eufy عن بُعد عبر VLC بدون مصادقة أو تشفير. قال مور إنه لا يستطيع الكشف عن دليل على مفهوم الضعف. هو ايضا تغريد ونفت يوفي الدعوى التي رفعتها ضد الشركة قبل الدعوى ، “ورفضت التعويض” ، لكنها قالت إن مور عرض عليها وظيفة.

أخيرًا ، يوم الاثنين ، غرد مور بأنه “أجرى مناقشة طويلة [Eufy’s] قسم الشؤون القانونية “وبعد ذلك” سيتم منحهم الوقت للتحقيق واتخاذ الإجراءات المناسبة “، ورفضنا التعليق. أرسلنا بريدًا إلكترونيًا إلى مور للتعليق ولكن لم نتلق ردًا في وقت هذا المنشور (كما هو مقترح في تغريدته).

في غضون ذلك ، رد Eufy ببيان إلى Ars ومنافذ أخرى. تؤكد Eufy أن لقطات الفيديو و “تقنية التعرف على الوجه” “تتم معالجتها على جهاز المستخدم وتخزينها محليًا”. ومع ذلك ، بالنسبة لإشعارات الدفع عبر الهاتف المحمول ، يتم “تخزين الصور المصغرة بشكل موجز وآمن على خادم سحابي قائم على AWS.” يتم تشفيرها من جانب الخادم ، خلف أسماء المستخدمين وكلمات المرور ، ويتم حذفها تلقائيًا ، وتتوافق مع معايير المراسلة الخاصة بشركة Apple و Google ومعايير تنظيم حماية البيانات العامة (GDPR).

يقر Eufy أنه بينما يمكن للمستخدمين الاختيار بين الإشعارات المستندة إلى النص أو الصور المصغرة من أجهزة الكمبيوتر الخاصة بهم أثناء الإعداد ، “ليس من الواضح أن صور المعاينة تحتاج إلى الاستضافة لفترة وجيزة في السحابة لاختيار الإشعارات المستندة إلى الصورة المصغرة.”

تعهدت Eufy أيضًا بتحديث لغة الإعداد الخاصة بها و “أن تكون أكثر وضوحًا بشأن استخدام السحابة لإشعارات الدفع في مواد التسويق الموجهة للمستهلكين”. مور ومزاعم أخرى استشارتها لجنة الأوراق المالية والبورصات لم تتناولها.