Anker, son on yılda kalite konusunda dikkate değer bir itibar kazandı ve telefon şarj işini, yıllardır önerdiğimiz Eufy ev güvenlik kameraları da dahil olmak üzere her tür taşınabilir elektroniği kapsayan bir imparatorluğa dönüştürdü. Eufy’nin gizlilik taahhüdü dikkat çekicidir: verilerinizin yerel olarak saklanacağını, “evinizin güvenliğini asla terk etmeyeceğini”, görüntülerinin yalnızca “uçtan uca” askeri düzeyde şifreleme ile iletileceğini ve yalnızca bunları göndereceğini vaat eder. “doğrudan telefonunuza” görüntüleri.
Bu nedenle, ülkenin diğer ucundan bir Eufy kameradan hiçbir şifreleme olmadan video akışı yapabileceğinizi öğrenmekten duyduğumuz şaşkınlığı hayal edebilirsiniz.
Daha da kötüsü, bunun ne kadar yaygın olabileceği henüz belli değil – çünkü şirket bunu doğrudan ele almak yerine yanlış bir şekilde iddia etti. Sınır ki bu mümkün bile değildi.
Şükran Günü’nde, bilgi güvenliği danışmanı Paul Moore ve Wasabi’ye giden bir bilgisayar korsanı ikisi de iddia edildi Anker’in Eufy kameraları, ücretsiz VLC Media Player ile Eufy’nin bulut sunucularındaki benzersiz bir adrese bağlanarak bulut üzerinden şifrelemesiz akış gerçekleştirebilir.
Anker’den bunu doğrudan onaylamasını veya reddetmesini istediğimizde, şirket kategorik olarak reddetti. Anker’de kıdemli bir halkla ilişkiler müdürü olan Brett White, “VLC gibi üçüncü taraf bir oynatıcı kullanarak bir akış başlatmanın ve canlı görüntüleri izlemenin mümkün olmadığını doğrulayabilirim” dedi.
Fakat Sınır şimdi bunun doğru olmadığını doğrulayabilir. Bu hafta, Amerika Birleşik Devletleri’nin dört bir yanından aynı VLC medya oynatıcıyı kullanan kendi Eufy kameralarımızdan ikisinden defalarca canlı çekim izledik – Anker’in şifrelemeyi atlamak ve bu sözde güvenli kameralara bulut aracılığıyla erişmek için bir yolu olduğunu kanıtladık.
Bazı iyi haberler var: Bunun vahşi ortamda istismar edildiğine dair henüz bir kanıt yok ve Eufy’nin web sitesi şifresiz akışı öksürmeden önce bir kullanıcı adı ve şifreyle oturum açmamız gereken adresi ilk elde etme şeklimiz. (Burada kesin tekniği paylaşmıyoruz.)
Ayrıca, yalnızca uyanık kameralarda çalışıyor gibi görünüyor. VLC akışı canlanana kadar projektör kameramızın yoldan geçen bir arabayı algılamasını veya sahibinin bir düğmeye basmasını beklememiz gerekti.
Kameranızın 16 haneli seri numarası (muhtemelen kutuda görünür) anahtarın en büyük parçasıdır
Ama aynı zamanda daha da kötüye gidiyor: Eufy’nin en iyi uygulamaları o kadar kalitesiz görünüyor ki, kötü aktörler bir kameranın beslemesinin adresini anlayabilir – çünkü bu adres büyük ölçüde şunlardan oluşur: kameranızın seri numarası Base64’te kodlanmış, basit bir çevrimiçi hesap makinesiyle kolayca tersine çevirebileceğiniz bir şey.
Adres aynı zamanda kolayca oluşturabileceğiniz bir Unix zaman damgası, Eufy sunucularının gerçekte doğrulamıyor göründüğü bir belirteç (belirteçimizi “keyfi patates” olarak değiştirdik ve hala çalışıyor) ve 65.536 kombinasyonu olan dört basamaklı rastgele bir onaltılık içerir. kolaylıkla kaba kuvvet olabilir.
Mandiant güvenlik açığı mühendisi Jacob Thompson, “Bu kesinlikle böyle tasarlanmamalı” dedi. anlatır Sınır. Birincisi, seri numaraları değişmez, bu nedenle kötü bir oyuncu Goodwill’e bir kamera verebilir, satabilir veya bağışlayabilir ve sessizce yayınları izlemeye devam edebilir. Ancak, şirketlerin seri numaralarını gizli tutma eğiliminde olmadığına da dikkat çekiyor. Bazıları onları Best Buy’da sattıkları kutunun üzerine yapıştırıyor – evet, Eufy dahil.
Artı tarafta, Eufy’nin seri numaraları 16 karakter uzunluğunda ve sadece artan bir sayı değil. Mandiant Red Team danışmanı Dillon Franke, “Kimlikleri öylece tahmin edip onlara vurmaya başlayamayacaksınız,” diyor ve bunu bu açıklamanın olası bir “kurtarma lütfu” olarak nitelendiriyor. “Kulağa UserID 1000 kadar kötü gelmiyor, sonra 1001, 1002, 1003’ü deniyorsunuz.”
Daha kötü olabilirdi. Georgia Tech güvenlik araştırmacısı ve Ph.D. Aday Omar Alrawi, 2018’de zayıf, akıllı ev uygulamalarını inceliyordu, bazı cihazların onların yerini aldığını gördü. kendi MAC adresleri güvenlik için – bir MAC adresi yalnızca on iki karakter uzunluğunda olsa da ve genellikle hangi şirketin bir gadget yaptığını bilerek ilk altı karakteri anlayabilirsiniz, diye açıklıyor.
“Seri numarası artık gizli tutmak için kritik hale geliyor.”
Ancak bu seri numaralarının başka nasıl sızdırılabileceğini veya Eufy’nin istemeden soran herkese bunları sağlayıp sağlayamayacağını da bilmiyoruz. Franke, “Bazen bu benzersiz kimlik bilgilerinin bir kısmını döndüren API’ler vardır” diyor. “Seri numarası artık gizli tutmak için kritik hale geldi ve ona bu şekilde davranacaklarını sanmıyorum.”
Thompson, artık Eufy’nin kameralarının tamamen şifreli olmadığını bildiğimize göre, başka potansiyel saldırı vektörlerinin olup olmadığını da merak ediyor: “Mimari, kameranın herhangi bir zamanda akışa başlamasını emredecek şekildeyse, yönetici erişimine sahip herkes erişim yeteneğine sahip olur. BT altyapısı ve kameranızı izleyin” diye uyarıyor. Bu, Anker’in görüntülerin “doğrudan telefonunuza gönderildiği ve anahtarın yalnızca sizde olduğu” iddiasından çok farklı.
Bu arada, Anker’in güvenlik uygulamalarının sandığından çok daha kötü olabileceğine dair endişe verici başka işaretler de var. Tüm bu destan, bilgi güvenliği danışmanı Moore olduğunda başladı. suçlamaları tweetlemeye başladı Eufy’nin küçük resimleri (yüzler dahil) buluta izinsiz olarak yüklemek de dahil olmak üzere diğer güvenlik vaatlerini ihlal ettiğini ve saklanan özel verilerin silinememesi. Anker’in öncekini kabul ettiği bildirildi, ancak yanlış anlaşılma dedi.
Doğruysa en endişe verici olan, o da iddia ediyor Eufy’nin video çekimleri için şifreleme anahtarının kelimenin tam anlamıyla “ZXSecurity17Cam@” düz metin dizesi olduğu. O ifade de çıkıyor 2019’dan bir GitHub deposundafazla.
Anker cevap vermedi Sınır“ZXSecurity17Cam@” şifreleme anahtarı olup olmadığına ilişkin basit evet-hayır sorusu.
Moore’dan da daha fazla ayrıntı alamadık; söyledi Sınır daha fazla yorum yapamaz şimdi yasal işlem başlattığına göre Anker’e karşı.
Anker bazı büyük yalanlara kapıldığına göre, şirketin bundan sonra ne söyleyeceğine güvenmek zor olacak – ancak bazıları için hangi kameraların bu şekilde davranıp davranmadığını, herhangi bir şeyin değişip değişmeyeceğini bilmek önemli olabilir. ve ne zaman. Wyze belli belirsiz benzer bir savunmasızlığa sahip olduğunda, bunu üç yıl boyunca halının altına süpürdü; umarım, Anker çok çok daha iyisini yapar.
Bazıları artık beklemeye veya güvenmeye istekli olmayabilir. Alrawi, “Bu haberle karşılaşsam ve bu kamera evimin içinde olsaydı, hemen kapatır ve kullanmazdım, çünkü onu kimin görüp kimin göremediğini bilmiyorum,” diyor Alrawi.
Bize bir Eufy kamerasının ağ adresini nasıl alacağımızı gösteren güvenlik mühendisi Wasabi, onun tümünü söküp aldığını söylüyor. “Güvenlik konusunda bilinçli olmaya çalıştığım için bunları aldım!” diye haykırıyor.
İle birlikte bazı özel Eufy kameralarıbelki de bunun yerine Apple’ın HomeKit Secure Video’sunu kullanacak şekilde değiştirmeyi deneyebilirsiniz.
Jen Tuohy ve Nathan Edwards tarafından yapılan raporlama ve testlerle