Eufy 的“无云”相机将面部缩略图上传到 AWS

小姑娘是在 Eufy 门铃锁摄像头中观看”/>展开/Anker 的摄像头将图像存储在本地。但是,面部缩略图已上传到云服务器。 尤菲 </figure><p>Eufy 是科技配件公司 Anker 的智能家居品牌,在一些注重隐私的安全摄像头买家中很受欢迎。它的门铃摄像头和其他设备自豪地宣称它们“没有云或成本”,并且“除了您之外没有人可以访问您的数据”。</p> <p>这就是为什么安全顾问兼研究员 Paul Moore 的一系列推文和视频证明 Eufy 摄像头正在将带有名称的缩略图上传到云服务器以提醒所有者的手机(可能未加密),这在本周激怒了智能家居和安全爱好者。 </p> <p>英国的摩尔从 11 月 21 日开始在 Twitter 上反问 Eufy 关于他的做法。 “为什么我的#doorbellDual '本地存储'会在你的服务器上存储每张面孔而不加密?为什么我可以在没有#authentication 的情况下流式传输我的相机?!” Moore 还发布了多行“源代码和 API 响应”,暗示使用了非常弱的 AES 密钥来加密视频片段。</p> <p>11 月 23 日,摩尔上传了一段视频,展示了他的发现。拔掉 Eufy Homebase 的插头后,Moore 走到了他的相机前。从隐身网络浏览器中,摩尔可以显示他自己的缩略图,他出现前不久的流图像,也许更不祥的是,身份证号码表明他已识别的面孔和他作为相机所有者的身份。 </ p> <figure class=[嵌入内容] 安全研究员 Paul Moore 制作的视频详细介绍了 Eufy 将缩略图和姓名(通过面部识别)静默上传到云服务器。

一天后,安全公司 SEC Consult 总结了两年来对 EufyCam 2 的分析,指出通过 Amazon Web Services 云进行类似的缩略图传输。该公司还看到了弱密钥,暗示“所有出售的 Homebase 设备都使用相同的硬编码加密/解密密钥”,但不清楚这些密钥的用途。

SEC Consult 指出,自 2021 年 5 月以来,Eufy 似乎加强了安全措施,当时用户突然获得了对其他人账户的几乎完全访问权限。 “但不幸的是,所有记录图像的缩略图似乎仍已上传到 AWS,因此该设备不符合我们的隐私要求。” SEC 表示,它根据摩尔的推文加快了发布调查结果的速度,并且“[黑色星期五] 购物狂潮即将来临。”

Moore 然后发布了 Eufy 对其调查结果的回应,其中 Eufy 支持代表表示缩略图受帐户登录限制,并且 URL 将“在 24 小时内过期”,除非用户不共享它。 Eufy 代表还指出,Eufy“之前就注意到了这一点”,还计划在本地创建他们的 Homebase 3 商店缩略图。

Moore 在后来的推文中还声称,与另一位用户的屏幕截图配对,您可以通过 VLC 远程启动和监控 Eufy 摄像头,无需身份验证或加密。 Moore 说他无法发布该漏洞的概念证明。他还在推特上表示,Eufy 否认了他对该公司提起的诉讼前诉讼,“拒绝赔偿”,但据摩尔称,还为他提供了一份工作。

我刚刚与@EufyOfficial 的法律部门进行了长时间的讨论。

  技术   Nov 30, 2022   0   22  Add to Reading List
Eufy 的“无云”相机将面部缩略图上传到 AWS
小姑娘是在 Eufy 门铃锁摄像头中观看”/>展开/Anker 的摄像头将图像存储在本地。但是,面部缩略图已上传到云服务器。 尤菲 </figure><p>Eufy 是科技配件公司 Anker 的智能家居品牌,在一些注重隐私的安全摄像头买家中很受欢迎。它的门铃摄像头和其他设备自豪地宣称它们“没有云或成本”,并且“除了您之外没有人可以访问您的数据”。</p> <p>这就是为什么安全顾问兼研究员 Paul Moore 的一系列推文和视频证明 Eufy 摄像头正在将带有名称的缩略图上传到云服务器以提醒所有者的手机(可能未加密),这在本周激怒了智能家居和安全爱好者。 </p> <p>英国的摩尔从 11 月 21 日开始在 Twitter 上反问 Eufy 关于他的做法。 “为什么我的#doorbellDual '本地存储'会在你的服务器上存储每张面孔而不加密?为什么我可以在没有#authentication 的情况下流式传输我的相机?!” Moore 还发布了多行“源代码和 API 响应”,暗示使用了非常弱的 AES 密钥来加密视频片段。</p> <p>11 月 23 日,摩尔上传了一段视频,展示了他的发现。拔掉 Eufy Homebase 的插头后,Moore 走到了他的相机前。从隐身网络浏览器中,摩尔可以显示他自己的缩略图,他出现前不久的流图像,也许更不祥的是,身份证号码表明他已识别的面孔和他作为相机所有者的身份。 </ p> <figure class=[嵌入内容] 安全研究员 Paul Moore 制作的视频详细介绍了 Eufy 将缩略图和姓名(通过面部识别)静默上传到云服务器。

一天后,安全公司 SEC Consult 总结了两年来对 EufyCam 2 的分析,指出通过 Amazon Web Services 云进行类似的缩略图传输。该公司还看到了弱密钥,暗示“所有出售的 Homebase 设备都使用相同的硬编码加密/解密密钥”,但不清楚这些密钥的用途。

SEC Consult 指出,自 2021 年 5 月以来,Eufy 似乎加强了安全措施,当时用户突然获得了对其他人账户的几乎完全访问权限。 “但不幸的是,所有记录图像的缩略图似乎仍已上传到 AWS,因此该设备不符合我们的隐私要求。” SEC 表示,它根据摩尔的推文加快了发布调查结果的速度,并且“[黑色星期五] 购物狂潮即将来临。”

Moore 然后发布了 Eufy 对其调查结果的回应,其中 Eufy 支持代表表示缩略图受帐户登录限制,并且 URL 将“在 24 小时内过期”,除非用户不共享它。 Eufy 代表还指出,Eufy“之前就注意到了这一点”,还计划在本地创建他们的 Homebase 3 商店缩略图。

Moore 在后来的推文中还声称,与另一位用户的屏幕截图配对,您可以通过 VLC 远程启动和监控 Eufy 摄像头,无需身份验证或加密。 Moore 说他无法发布该漏洞的概念证明。他还在推特上表示,Eufy 否认了他对该公司提起的诉讼前诉讼,“拒绝赔偿”,但据摩尔称,还为他提供了一份工作。

我刚刚与@EufyOfficial 的法律部门进行了长时间的讨论。

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow