Anker'den Eufy, güvenlik kameralarının güvenliği hakkında bize yalan söyledi
Anker, son on yılda kalite konusunda dikkate değer bir itibar kazandı ve telefon şarj işini, yıllardır önerdiğimiz Eufy ev güvenlik kameraları da dahil olmak üzere her tür taşınabilir elektroniği kapsayan bir imparatorluğa dönüştürdü . Eufy'nin gizliliğe olan bağlılığı dikkat çekicidir: verilerinizin yerel olarak saklanacağını, "evinizin güvenliğini asla terk etmeyeceğini", görüntülerinin yalnızca "uçtan uca" askeri düzeyde şifreleme ile iletileceğini ve yalnızca bu görüntüleri "doğrudan telefonunuza" gönderir.
Bu nedenle, ülkenin diğer ucundan bir Eufy kameradan hiçbir şifreleme olmadan video akışı yapabileceğinizi öğrenmekten duyduğumuz şaşkınlığı hayal edebilirsiniz.
Daha da kötüsü, bunun ne kadar yaygın olabileceği henüz net değil – çünkü şirket, kafa kafaya ele almak yerine, The Verge'e bunun mümkün olmadığını yanlış bir şekilde iddia etti.
Şükran Günü'nde, infosec danışmanı Paul Moore ve Wasabi'den geçen bir bilgisayar korsanı, Anker'in Eufy kameralarının ücretsiz VLC Media Player ile Eufy'nin bulut sunucularındaki benzersiz bir adrese bağlanarak bulut üzerinden şifrelemesiz akış sağlayabildiğini iddia etti.
Anker'den bunu doğrudan onaylamasını veya reddetmesini istediğimizde, şirket kategorik olarak reddetti. Anker'de kıdemli bir halkla ilişkiler müdürü olan Brett White, "VLC gibi üçüncü taraf bir oynatıcı kullanarak bir akış başlatmanın ve canlı görüntüleri izlemenin mümkün olmadığını doğrulayabilirim" dedi.
Ancak The Verge artık bunun doğru olmadığını doğrulayabilir. Bu hafta, Amerika Birleşik Devletleri'nin dört bir yanından aynı VLC medya oynatıcıyı kullanan kendi Eufy kameralarımızdan ikisinden defalarca canlı çekim izledik – Anker'in şifrelemeyi atlamak ve bu sözde güvenli kameralara bulut aracılığıyla erişmek için bir yolu olduğunu kanıtladık.
Bazı iyi haberler var: Bunun vahşi ortamda istismar edildiğine dair henüz bir kanıt yok ve Eufy'nin web sitesi şifresiz akışı öksürmeden önce bir kullanıcı adı ve şifreyle oturum açmamız gereken adresi ilk elde etme şeklimiz. (Burada kesin tekniği paylaşmıyoruz.)
Ayrıca, yalnızca uyanık kameralarda çalışıyor gibi görünüyor. VLC akışı canlanana kadar projektör kameramızın yoldan geçen bir arabayı algılamasını veya sahibinin bir düğmeye basmasını beklememiz gerekti.
Kameranızın 16 haneli seri numarası (muhtemelen kutuda görünür) anahtarın en büyük parçasıdır
Ama aynı zamanda daha da kötüye gidiyor: Eufy'nin en iyi uygulamaları o kadar kalitesiz görünüyor ki, kötü aktörler bir kameranın beslemesinin adresini anlayabilir – çünkü bu adres büyük ölçüde kameranızın Base64'te kodlanmış seri numarasından oluşur; bu, kolayca tersine çevirebileceğiniz bir şeydir. basit bir çevrimiçi hesap makinesi.
Adres aynı zamanda kolayca oluşturabileceğiniz bir Unix zaman damgası, Eufy sunucularının gerçekte doğrulamıyor göründüğü bir belirteç (belirteçimizi "keyfi patates" olarak değiştirdik ve hala çalışıyor) ve 65.536 kombinasyonu olan dört basamaklı rastgele bir onaltılık içerir. kolaylıkla kaba kuvvet olabilir.
Mandiant güvenlik açığı mühendisi Jacob Thompson, "Bu kesinlikle böyle tasarlanmamalı" dedi. The Verge'e söyler. Birincisi, seri numaraları değişmez, bu nedenle kötü bir oyuncu Goodwill'e bir kamera verebilir, satabilir veya bağışlayabilir ve sessizce yayınları izlemeye devam edebilir. Ancak, şirketlerin seri numaralarını gizli tutma eğiliminde olmadığına da dikkat çekiyor. Bazıları onları Best Buy'da sattıkları kutunun üzerine yapıştırıyor – evet, Eufy dahil.
Artı tarafta, Eufy'nin seri numaraları 16 karakter uzunluğunda ve sadece artan bir sayı değil. Mandiant Red Team danışmanı Dillon Franke, "Kimlikleri öylece tahmin edip onlara vurmaya başlayamayacaksınız," diyor ve bunu bu açıklamanın olası bir "kurtarma lütfu" olarak nitelendiriyor. "Kulağa UserID 1000 kadar kötü gelmiyor, sonra 1001, 1002, 1003'ü deniyorsunuz."
Daha kötü olabilirdi. Georgia Tech güvenlik araştırmacısı ve Ph.D. aday Omar Alrawi, 2018'de zayıf, akıllı ev uygulamaları üzerinde çalışıyordu, bazı cihazların güvenlik için kendi MAC adreslerini kullandığını gördü – bir MAC adresi yalnızca on iki karakter uzunluğunda olmasına ve genellikle ilk altı karakteri hangi karakter olduğunu bilerek çözebilirsiniz. şirket bir alet yaptı, diye açıklıyor.
"Seri numarası artık gizli tutmak için kritik hale geliyor."
Ancak bu seri numaralarının başka nasıl sızdırılabileceğini veya Eufy'nin istemeden soran herkese bunları sağlayıp sağlayamayacağını da bilmiyoruz. Franke, "Bazen bu benzersiz kimlik bilgilerinin bir kısmını döndüren API'ler vardır" diyor. "Seri numarası artık gizli tutmak için kritik hale geldi ve ona bu şekilde davranacaklarını sanmıyorum."
Thompson, artık Eufy'nin kameralarının tamamen şifreli olmadığını bildiğimize göre, başka potansiyel saldırı vektörlerinin olup olmadığını da merak ediyor: "Mimari, kameranın herhangi bir zamanda akışa başlamasını emredecek şekildeyse, yönetici erişimine sahip herkes erişim yeteneğine sahip olur. BT altyapısı ve kameranızı izleyin” diye uyarıyor. Bu, Anker'in görüntülerin "doğrudan telefonunuza gönderildiği ve anahtarın yalnızca sizde olduğu" iddiasından çok farklı.
Bu arada, Anker'in güvenlik uygulamalarının sandığından çok daha kötü olabileceğine dair endişe verici başka işaretler de var. Tüm bu destan, infosec danışmanı Moore'un, Eufy'nin küçük resimleri (yüzler dahil) buluta izinsiz olarak yüklemesi ve depolanan özel verileri silmemesi dahil olmak üzere diğer güvenlik vaatlerini ihlal ettiğine dair tweet atmaya başlamasıyla başladı . Anker'in ilkini kabul ettiği, ancak bunu bir yanlış anlaşılma olarak nitelendirdiği bildirildi.
Doğruysa en endişe verici olanı, Eufy'nin video çekimleri için şifreleme anahtarının kelimenin tam anlamıyla "ZXSecurity17Cam@" düz metin dizesi olduğunu iddia ediyor. Bu ifade , 2019'dan bir GitHub deposunda da yer alıyor.
Anker, The Verge'in "ZXSecurity17Cam@" şifreleme anahtarı olup olmadığıyla ilgili basit evet-hayır sorusuna yanıt vermedi.
Moore'dan da daha fazla ayrıntı alamadık; Verge'e, Anker'e karşı yasal işlem başlattığı için daha fazla yorum yapamayacağını söyledi.
Anker bazı büyük yalanlara kapıldığına göre, şirketin bundan sonra söyleyeceği her şeye güvenmek zor olacak – ancak bazıları için hangi kameraların bu şekilde davranıp davranmadığını, herhangi bir şeyin değişip değişmeyeceğini bilmek önemli olabilir. ve ne zaman. Wyze belli belirsiz benzer bir savunmasızlığa sahip olduğunda, bunu üç yıl boyunca halının altına süpürdü ; umarım, Anker çok çok daha iyisini yapar.
Bazıları artık beklemeye veya güvenmeye istekli olmayabilir. Alrawi, "Bu haberle karşılaşsam ve bu kamera evimin içinde olsaydı, hemen kapatır ve kullanmazdım, çünkü onu kimin görüp kimin göremediğini bilmiyorum," diyor Alrawi.
Bize bir Eufy kamerasının ağ adresini nasıl alacağımızı gösteren güvenlik mühendisi Wasabi, onun tümünü söküp aldığını söylüyor. "Güvenlik konusunda bilinçli olmaya çalıştığım için bunları aldım!" diye haykırıyor.
Bazı belirli Eufy kameralarla , bunun yerine Apple'ın HomeKit Secure Video'sunu kullanacak şekilde değiştirmeyi deneyebilirsiniz.
Jen Tuohy ve Nathan Edwards tarafından yapılan raporlama ve testlerle