Камеры и видеодомофоны Anker Eufy передают данные по незащищённым каналам — производитель раскаялся и пообещал исправиться
Эксперты по кибербезопасности обнаружили, что камеры наблюдения и видеодомофоны Eufy — суббренда китайской Anker Innovations — транслируют часть контента в облако по незашифрованным каналам, где они бесконтрольно хранятся до 24 часов.
Согласно заявлениям Eufy, данные с камер транслируются только на локальный блок HomeBase, который хранится в доме владельца системы. В блоке HomeBase есть жёсткий диск, на котором хранятся отснятые материалы, а доступ к ним можно получить через приложение Eufy или веб-портал компании. Производитель заверяет, что эти данные защищены сквозным шифрованием, открыть их можно только при наличии непубличного ключа, привязанного к учётной записи пользователя.
Последняя версия системы HomeBase 3 при помощи алгоритмов машинного обучения распознаёт транспортные средства, домашних животных и людей на видеозаписях — и снова производитель уверяет, что анализ изображения производится локально. Может быть, это и так, но результаты этого анализа обнаруживаются на серверах Eufy в инфраструктуре Amazon Web Services.
Купив видеодомофон Eufy, эксперт по вопросам кибербезопасности Пол Мур (Paul Moore) обнаружил, что в исходном коде страниц на веб-портале производителя в открытом виде содержатся URL-адреса незашифрованных изображений в облаке производителя. Эти изображения остаются доступными по прямым ссылкам даже после отключения блока HomeBase от интернета, удаления исходных кадров из локального хранилища и даже удаления всей учётной записи пользователя.
Для каждой сохранённой на Eufy HomeBase видеозаписи в облаке создаётся изображение предварительного просмотра, там же оказываются снимки всех распознанных системой лиц, к которым привязываются уникальные идентификаторы. И это явным образом противоречит заявлению производителя, что «ваши персональные данные никогда не покидают пределов вашего дома». В реальности адреса всех этих изображений обнаруживаются в виде открытого текста, а картинку с камер Eufy можно смотреть в реальном времени без аутентификации. И это тоже не соответствует заявлениям производителя о сквозном шифровании данных.
В компании отреагировали на эти открытия, посетовав на «недостаток связи [с общественностью]» — людям «не разъяснили, что выбор уведомлений с эскизами требует кратковременного размещения изображений предпросмотра в облаке». По информации Eufy, эти изображения автоматически удаляются через какое-то время, хотя эксперты указали на 24-часовой срок. Компания также пообещала обеспечить шифрование API, соединяющего веб-портал с облаком производителя, что исключит передачу URL-адресов в открытом виде. Наконец, производитель сообщил о намерении обновить тексты инструкций, в явном виде указав, что при настройках уведомлений с эскизами изображения для предварительного просмотра загружаются в облако.