Eufy de Anker mentiu para nós sobre a segurança de suas câmeras de segurança

A Anker construiu uma reputação notável de qualidade na última década, transformando seu negócio de carregadores de telefone em um império que abrange todos os tipos de eletrônicos portáteis, incluindo as câmeras de segurança doméstica Eufy que recomendamos ao longo dos anos. Eufy’s compromisso com a privacidade é notável: promete que seus dados serão armazenados localmente, que “nunca sai da segurança de sua casa”, que suas imagens são transmitidas apenas com criptografia de nível militar “ponta a ponta” e que enviarão apenas imagens “diretamente para o seu telefone”.

Então você pode imaginar nossa surpresa ao saber que você pode transmitir vídeo de uma câmera Eufy do outro lado do país sem nenhuma criptografia.

a:hover]:text-gray-63 text-gray-63 dark:[&>a:hover]:text-gray-bd dark:text-gray-bd dark:[&>a]:text-gray-bd [&>a]:shadow-underline-gray-63 [&>a:hover]:shadow-underline-black dark:[&>a]:shadow-underline-gray dark:[&>a:hover]:shadow-underline-gray”>Captura de tela de Sean Hollister/The Verge

Pior ainda, ainda não está claro o quão difundido pode ser – porque, em vez de abordá-lo de frente, a empresa alegou falsamente A beira isso nem foi possível.

No Dia de Ação de Graças, o consultor de infosec Paul Moore e um hacker que se autodenomina Wasabi ambos alegaram que as câmeras Eufy da Anker podem transmitir sem criptografia através da nuvem – simplesmente conectando-se a um único endereço nos servidores da nuvem da Eufy com o reprodutor de mídia VLC gratuito.

Quando pedimos a Anker para confirmar ou negar isso, a empresa negou categoricamente. “Posso confirmar que não é possível iniciar uma transmissão e assistir a imagens ao vivo usando um reprodutor de terceiros, como o VLC”, disse Brett White, gerente sênior de relações públicas da Anker, por e-mail.

Mas A beira agora pode confirmar que isso não é verdade. Esta semana, assistimos repetidamente a imagens ao vivo de duas de nossas próprias câmeras Eufy usando o mesmo reprodutor de mídia VLC, de todos os Estados Unidos – provando que Anker tem uma maneira de contornar a criptografia e obter acesso a essas câmeras supostamente protegidas em nuvem.

Há boas notícias: ainda não há evidências de que isso tenha sido explorado em estado selvagem, e a maneira como originalmente obtivemos o endereço exigia login com um nome de usuário e senha antes que o site de Eufy cuspisse o fluxo sem criptografia. (Não compartilhamos a técnica exata aqui.)

Além disso, parece funcionar apenas em câmeras que estão ativadas. Tivemos que esperar que nossa câmera holofote detectasse um carro passando ou seu proprietário pressionando um botão antes que o fluxo do VLC ganhasse vida.

O número de série de 16 dígitos da sua câmera – provavelmente visível na caixa – é a maior parte da chave

Mas também está piorando: as práticas recomendadas de Eufy parecem ser tão ruins que os malfeitores podem descobrir o endereço de fluxo de uma câmera – porque esse endereço consiste em grande parte em o número de série da sua câmera Codificado em Base64, algo que você pode reverter facilmente com uma simples calculadora online.

O endereço também inclui um carimbo de data/hora do Unix que você pode criar facilmente, um token que os servidores da Eufy não parecem realmente validar (mudamos nosso token para “batata arbitrária” e ainda funcionou) e um hexadecimal aleatório de quatro dígitos, incluindo 65.536 combinações poderiam facilmente ser brutalmente forçadas.

“Definitivamente não é como deveria ser projetado”, disse o engenheiro de vulnerabilidades da Mandiant, Jacob Thompson. recontagem A beira. Por um lado, os números de série não mudam, então um ator ruim pode dar, vender ou doar uma câmera para o Goodwill e continuar silenciosamente assistindo aos streams. Mas também ressalta que as empresas não costumam manter seus números de série em segredo. Alguns os colocam diretamente na caixa que vendem na Best Buy – sim, incluindo Eufy.

No lado positivo, os números de série do Eufy têm 16 caracteres e não apenas um número crescente. “Você não será capaz de apenas adivinhar os IDs e começar a perfurá-los”, diz Dillon Franke, consultor da Mandiant Red Team, chamando isso de uma possível “graça salvadora” da divulgação. “Isso não parece tão ruim quanto se fosse UserID 1000, então tente 1001, 1002, 1003.”

Poderia ser pior. Quando o pesquisador de segurança da Georgia Tech e candidato a Ph.D. Omar Alrawi estava estudando as más práticas domésticas inteligentes em 2018, ele viu certos dispositivos substituírem seu próprio endereço MAC para segurança – mesmo que um endereço MAC tenha apenas doze caracteres, e você geralmente pode descobrir os primeiros seis caracteres apenas sabendo qual empresa fez um gadget, explica ele.

“O número de série agora se torna essencial para manter o segredo.”

Mas também não sabemos como esses números de série podem vazar, ou se Eufy pode mesmo fornecê-los involuntariamente a alguém que pergunte. “Às vezes, há APIs que retornam algumas dessas credenciais exclusivas”, diz Franke. “O número de série agora se torna essencial para manter o segredo, e não acho que eles o tratariam dessa maneira.”

Thompson também se pergunta se existem outros vetores de ataque em potencial agora que sabemos que as câmeras de Eufy não são totalmente criptografadas: “Se a arquitetura é tal que eles podem ordenar que a câmera comece a transmitir a qualquer momento, qualquer pessoa com acesso de administrador pode acessar a infraestrutura de TI e olhe para sua câmera”, ele adverte. Isso está muito longe da afirmação de Anker de que a filmagem é “enviada diretamente para o seu telefone e somente você tem a chave”.

A propósito, há outros sinais preocupantes de que as práticas de segurança de Anker podem ser muito, muito piores do que aparentam. Toda essa saga começou quando o consultor de infosec Moore começou a twittar acusações que Eufy violou outras promessas de segurança, incluindo upload de imagens em miniatura (incluindo rostos) para a nuvem sem permissão e não exclua dados privados armazenados. Anker teria admitido primeiro, mas chamou isso de mal-entendido.

Mais preocupante se for verdade, ele também afirma que a chave de criptografia de Eufy para sua filmagem é literalmente apenas a string de texto simples “ZXSecurity17Cam@”. Esta frase também aparece em um repositório GitHub de 2019também.

Anker não respondeu A beiraA simples pergunta sim ou não sobre se “ZXSecurity17Cam@” é a chave de criptografia.

Também não conseguimos obter mais detalhes de Moore; ele disse A beira ele não pode comentar mais agora que ele iniciou um processo judicial contra Anker.

Agora que Anker foi pego em algumas grandes mentiras, será difícil confiar em qualquer coisa que a empresa diga a seguir – mas para alguns pode ser importante saber quais câmeras se comportam e quais não se comportam dessa maneira, se alguma coisa for mudou e quando. Quando Wyze teve uma vulnerabilidade vagamente semelhante, ele a varreu para debaixo do tapete por três anos; espero que Anker faça muito, muito melhor.

Alguns podem não estar mais dispostos a esperar ou confiar. “Se eu me deparasse com essa notícia e tivesse essa câmera em casa, desligaria imediatamente e não a usaria, porque não sei quem pode ver e quem não pode”, me diz Alrawi.

Wasabi, o engenheiro de segurança que nos mostrou como obter o endereço de rede de uma câmera Eufy, diz que arranca tudo dele. “Comprei isso porque estava tentando me preocupar com a segurança!” ele exclama.

Com algumas câmeras Eufy específicastalvez você possa tentar alterá-los para usar o HomeKit Secure Video da Apple.

Com relatórios e testes de Jen Tuohy e Nathan Edwards