Smart kamery odosielali do cloudu nešifrované zábery bez vedomia ich majiteľov

Spoločnosť Eufy, ktorá má sériu cenovo dostupných bezpečnostných kamier, čelí v súčasnosti veľkému bezpečnostnému problému. Kamery nahrávali nešifrované zábery do cloudu bez toho, aby o tom majitelia vedeli.

Eury sa pýši tým, že jeho produkty sú jedným z mála bezpečnostných zariadení, ktoré umožňujú mať lokálne uložené médiá a na fungovanie nepotrebujú cloudový účet.

Známy bezpečnostný výskumník Paul Moore však objavil bezpečnostnú dieru v mobilnej aplikácii Eufy. Mal zakúpenú kameru Eufy Doorbell s cieľom lokálneho úložiska. Zistil, že kamera zvončeka ukladá miniatúry tvárí v cloude. Moore pritom nevyužíval cloudovú možnosť úložiska.

To nebol jediný prípad. Neskôr sa ozval iný používateľ s tým, že údaje nahrané do Eufy neboli ani zašifrované. Všetky nahrané klipy bolo možné jednoducho prehrať na akomkoľvek prehrávači médií. Miniatúry a klipy boli prepojené s partnerskými kamerami a ponúkali ďalšie identifikovateľné informácie.

Spoločnosť Eufy vysvetlila, prečo sa tento problém objavuje. Ak si necháte poslať oznámenie o pohybe s priloženou miniatúrou, Eufy dočasne odošle tento súbor na svoje servery. Moore túto možnosť povolil manuálne, a tak bola bezpečnostná chyba nakoniec objavená. V predvolenom nastavení sú upozornenia kamery do aplikácie Eufy iba textové.

Eufy tvrdí, že jej postupy sú v súlade s podmienkami používania služby Apple Push Notification Service a štandardmi Google Firebase Cloud Message. Odvtedy boli opravené niektoré problémy, ktoré objavil Moore.

Spoločnosť povedala, že informuje svojich používateľov o tom, ako ukladá údaje. Push notifikácie s miniatúrami vyžadujú ukážkové obrázky, ktoré sú dočasne uložené v cloude a v ich marketingových materiáloch pre spotrebiteľov budú jasnejšie informovať o používaní cloudu pre push notifikácie.