Eufy : vulnérabilités critiques découvertes

admin0


Le spécialiste de la maison intelligente Eufy n’est-il pas totalement honnête avec ses clients ? C’est du moins ce que suggère la dernière découverte de l’expert britannique en sécurité Paul Moore qui a examiné de plus près le fonctionnement des caméras de sécurité de la filiale Anker. D’une part, il a constaté que les flux en direct de ses caméras pouvaient être appelés via le navigateur Web sans aucune authentification. D’autre part, selon Moore, les caméras Eufy transfèrent le contenu vers le propre cloud de l’entreprise, même si l’utilisateur l’a désactivé au préalable.

Les meilleures caméras de surveillance



Eufy

Kit Ultra VMS5140-100EUS


Arlo

Caméra intérieure SV-DPFX


Yale

icucam4 - Caméra 4G/LTE


icuserver

Caméra projecteur Pro 3


Arlo

Caméra projecteur Pro 4


Arlo

Maginon WK 4 HDW


Maginon

Caméra intérieure 360° (F01U316304)


Bosch

Caméra intérieure 360° (F01U316304)

Pro 3 blanc (2 caméras + Smarthub)


Arlo

Caméra de sécurité extérieure de présence NOC-S


atmosphère nette

Liste complète : Les meilleures caméras de sécurité

Eufy envoie des images dans le cloud

Les données transmises comprenaient des instantanés pris par Eufy Doorbell Dual de Moore de personnes à la porte d’entrée pour l’avant-première, ainsi que des photos de personnes identifiées par l’intelligence artificielle. Les caméras chargent également divers numéros d’identification individuels non cryptés dans le cloud. Le système les attribue aux appareils respectifs ainsi qu’aux personnes précédemment enregistrées avec leurs photos.

Des données toujours accessibles des heures plus tard

Moore démontre un téléchargement non autorisé sur le cloud en prenant une photo de lui-même avec son appareil photo, mais en éteignant l’Eufy HomeBase qui sert de base de stockage. Néanmoins, il était toujours en mesure d’accéder au contenu – même s’il ne s’était pas inscrit au service cloud. Tout aussi explosif : les images et informations transmises pouvaient encore être appelées pendant quelques heures malgré l’arrêt de l’Eufy HomeBase, même s’il supprimait le matériel filmé de l’application Eufy.

Les meilleurs écrans intelligents

Echo Show 10 (3e génération)


Amazone

Spectacle d'écho 8 2021


Amazone

Spectacle d'écho 5 2021


Amazone

spectacle d'écho 8


Amazone

Liste complète : Les meilleurs écrans intelligents

Eufy introduit le cryptage

Dans une déclaration à la disposition de COMPUTER BILD, le fabricant explique comment le matériel s’est retrouvé dans le cloud. Il déclare: « Afin de fournir aux utilisateurs des notifications push pour leurs appareils mobiles, certaines de nos solutions de sécurité peuvent afficher de petites images d’aperçu (appelées vignettes) de vidéos, qui sont brièvement et en toute sécurité hébergées sur un Amazon Web Services (AWS) serveur cloud basé sur . » Ceux-ci sont cryptés côté serveur et configurés de manière à être automatiquement supprimés.

Le fabricant admet également que l’application de sécurité Eufy n’a pas suffisamment précisé « que lorsque les notifications de vignettes sont sélectionnées, les images de prévisualisation sont temporairement hébergées dans le cloud ».

En réponse à Paul Moore, la société a également apporté diverses modifications et installé un cryptage afin que le contenu transmis au cloud ne puisse plus être facilement trouvé et accessible.

Eufy veut être plus transparent

À l’avenir, Eufy souhaite également informer les clients de manière plus transparente. Dans le communiqué, le constructeur explique ses mesures prévues. Par exemple, ils souhaitent réviser le libellé des notifications push dans l’application Eufy Security pour souligner que ces notifications avec vignettes « nécessitent de petites vignettes temporairement stockées dans le cloud ». À l’avenir, le matériel marketing du fabricant mettra également plus clairement en évidence l’utilisation du cloud pour les notifications push.





Source link -53