منو سایت

  • خانه
  • وبلاگ
  • بحث امنیتی Anker Eufy – Anker سرانجام به فیدهای رمزگذاری نشده پاسخ می دهد

بحث امنیتی Anker Eufy – Anker سرانجام به فیدهای رمزگذاری نشده پاسخ می دهد

 تاریخ انتشار :
/
  وبلاگ
بحث امنیتی Anker Eufy - Anker سرانجام به فیدهای رمزگذاری نشده پاسخ می دهد

اشتراک گذاری مراقبت است!

من در ابتدا در مورد مسائل امنیتی با Anker Eufy در 15 دسامبر پست کردم. من ارسال پست در مورد این موضوع را به تعویق انداختم زیرا در وسط بررسی دوربین Eufy 4G LTE Starlight بودم و امیدوار بودم که آنها مشکل را برطرف کنند در حالی که من در مورد آن می نوشتم.

چند روز بعد از اینکه پست اصلی را در 19 دسامبر گذاشتم، انکر یک توضیح اساسی ارائه کرد و گفت که مشکل حل شده است و من پست زیر را به روز کردم.

اخیراً Verge پاسخ دقیق تری به این مشکل دریافت کرده است. Anker تصدیق کرد که دسترسی به فیدهای رمزگذاری نشده امکان پذیر است، اما در پاسخ مقداری گستاخی وجود داشت.

انکر بیان می‌کند که یکی از مواردی که در پاسخ جدید قابل ذکر است، «تنها 0.1 درصد از کاربران روزانه فعلی ما از ویژگی پورتال وب امن در eufy.com استفاده می‌کنند.» اما در ماه دسامبر آنها گفتند، «حدود 1 درصد از همه کاربران ما می‌توانند به آن دسترسی داشته باشند. حساب آنها از طریق پورتال وب ما.”

این تعداد کاربران زیادی نیست، اما هنوز هم در گزارش آنها ده برابر تفاوت است.

همانطور که در پست اصلی خود اشاره کردم، فکر می کنم بزرگترین مشکل مردم این است که آنکر چگونه با مشکل برخورد کرد. لطمه زدن به شهرت آنها ادامه خواهد داشت. من هنوز از دوربین ها استفاده می کنم، بنابراین ظاهراً آنقدرها مرا آزار نمی دهد.

آنچه ثابت شده است

  • هر درخواست پخش جریانی ویدیویی که از پورتال وب Eufy نشات می‌گیرد، اکنون رمزگذاری شده است.
  • هر دوربین Eufy برای استفاده از WebRTC که به طور پیش فرض رمزگذاری شده است، به روز می شود.
  • دستگاه‌های Homebase3 و eufyCam3/3C که در اکتبر 2022 منتشر شدند، اکنون از WebRTC برای ارتباطات سرتاسر رمزگذاری‌شده هنگام استفاده از پورتال وب برای دسترسی به جریان‌های زنده در مرورگر استفاده می‌کنند.
  • اگر کاربر استفاده از برافزای ذخیره سازی ابری امنیت eufy را انتخاب کند، این عملیات رمزگذاری شده سرتاسر است.
  • پشتیبانی از سرور ابری با الزامات استانداردهای ISO27701 و ISO27001 مطابقت دارد.

پست اصلی

من باید یک بررسی درباره دوربین Eufy 4G LTE Starlight بنویسم و ​​اخیراً EufyCam 3C عالی را بررسی کردم. من شروع به نوشتن این بررسی کردم و بخش طولانی را در مورد نگرانی های اخیر در مورد حریم خصوصی و امنیتی که اخیراً در مورد Eufy فاش شده است بحث کردم.

من امیدوار بودم که Eufy تصحیح کامل و عذرخواهی تا زمان نوشتن نقد خود ارائه دهد، اما در زمان نوشتن هیچ توضیح یا اصلاح کاملی ارائه نشده است.

به نظر می رسد دو مشکل اصلی که به وجود آمده است عبارتند از:

  • تصاویر کوچکی که دریافت می کنید باید در سرورهای AWS آپلود شوند، دسترسی مستقیم به این URL ها امکان پذیر است. مشکل اصلی این یکی این است که Eufy همیشه ادعا کرده است که چیزی روی هیچ سروری آپلود نمی شود.
  • به طور جدی تر، ادعاهایی وجود داشت مبنی بر اینکه امکان دسترسی از راه دور به فید زنده دوربین بدون احراز هویت وجود دارد.

تصاویر کوچک در سرورهای آمازون آپلود شده است

Eufy تا حدی به مشکل اول پرداخت. آنها آپلود تصاویر را متوقف نمی‌کنند زیرا مشخص می‌شود که برای ارائه این اعلان‌های غنی از ویژگی‌ها مجبور هستند.

اکنون، وقتی اعلان‌های غنی از ویژگی‌ها را انتخاب می‌کنید، هشداری دریافت می‌کنید که این داده‌ها در شرف بارگذاری هستند.

فید دوربین را از راه دور از طریق VLC مشاهده کنید، احتمالاً با استفاده از RTSP

در ابتدا، به نظر می رسد انکر از مسائل مربوط به مشاهده فید از راه دور اجتناب می کند. خطر سوء استفاده از این نقص امنیتی بسیار کم به نظر می رسید، اما همچنان بسیار نگران کننده بود.

ادعا می شود که فقط با دانستن آدرس منحصر به فرد در سرورهای ابری Eufy می توانید بدون رمزگذاری به جریان دوربین دسترسی پیدا کنید.

استفاده از آن سخت است زیرا برای اینکه بتوانید بدون رمزگذاری وارد وب سایت شوید و به جریان دسترسی داشته باشید، باید نام کاربری و رمز عبور Eufy را بدانید.

آدرس این استریم باید بر اساس شماره سریال دوربین کدگذاری شده در Base64 باشد. بنابراین بعید است که یک هکر تصادفی آن را بداند.

حتی اگر همه این اطلاعات را بدانید، URL استریم تنها زمانی کار می کند که دوربین فعال باشد. من 90٪ مطمئن هستم که این فقط کانال RTSP است که می توانید با دوربین هایی مانند Anker Eufycam 2C راه اندازی کنید.

این ایده آل نیست، اما امکان پخش محتوا از دوربین های امنیتی از راه دور چیزی است که بسیار رایج است. شما حتی به VLC با Eufy نیاز ندارید، اگر نام کاربری و رمز عبور (که برای دریافت URL استریم نیاز دارید) دارید، می توانید از راه دور بیدار شوید و فید دوربین را ببینید.

آنکر قبلاً توضیحی داده و تأیید کرده است:

امروزه حدود 1% از تمام کاربران ما از طریق پورتال وب ما به حساب خود دسترسی دارند. طبق طراحی ما، کاربران قبل از دسترسی به اطلاعات باید وارد حساب کاربری خود شوند. لینک های URL فقط توسط خود کاربران قابل دریافت و اشتراک گذاری هستند و فقط به طور موقت معتبر خواهند بود. اگر URL خود را دریافت کنید و آن را با افراد دیگر به اشتراک بگذارید، یک فعالیت خصوصی خواهد بود. با این حال، ما می‌خواهیم به همه اطمینان دهیم که این نقطه را بهبود بخشیده‌ایم – حتی پس از اینکه کاربران با ورود به حساب‌هایشان پیوند URL را دریافت کردند، نمی‌توان آن را از طریق یک پخش کننده شخص ثالث پخش کرد یا برای بازی با دیگران به اشتراک گذاشت. همانطور که پل مور در ویدیوی خود نشان داد، ما همچنین درگاه حالت توسعه دهنده مرورگر را بسته ایم تا از فرآیند مشابهی جلوگیری کنیم.

چرا 2FA برای Eufylife اعمال نمی شود؟

می توانید 2FA را از طریق تنظیمات حساب خود و ایمیل/اس ام اس فعال کنید. اگر مدتی است که یک حساب Eufy دارید، به احتمال زیاد متوجه آن نشده اید یا آن را فعال نکرده اید. برخلاف سایر مارک های امنیتی، Eufy 2FA را اجرا نمی کند.

با توجه به این مسائل امنیتی و این واقعیت که تقریباً نیاز است که شخص به دوربین یا حساب شما دسترسی داشته باشد، من به شدت توصیه می کنم 2FA را فعال کنید.

در سال 2019، به دلیل اینکه امکان ورود به یک حساب کاربری و تماشای جریان از راه دور بدون احراز هویت اضافی وجود داشت، نگرانی هایی در مورد حفظ حریم خصوصی Ring وجود داشت. این کابوس روابط عمومی باعث شد Ring، Arlo و Blink به سرعت 2FA را پیاده سازی کنند. متأسفانه، به نظر می رسد یوفی یادداشت را از دست داده است.

همش بخاطر بی صداقتی

عدم اجرای 2FA برای من یک مشکل است و من شک دارم که Eufy در آینده نزدیک این را اجرا کند.

من در مورد بیت های دیگر چندان نگران نیستم، شک دارم که آنها هیچ خطر امنیتی برای من داشته باشند. با این حال، کاربران به درستی اشاره می کنند که Eufy با ادعاهای بازاریابی خود صادق نبوده است. آنها اظهار داشتند که هیچ کدام از اینها امکان پذیر نیست، هیچ چیز آنلاین نمی شود. به نظر می رسد که بسیاری از واکنش ها از آنجا ناشی می شود.

من از شر دوربین های Eufy خلاص نمی شوم

احتمالاً بی تفاوتی از طرف من است، اما دوربین هایم را نگه می دارم. می دانم که نباید آنقدر از خود راضی باشم، اما در طرح بزرگ همه چیز، بارگذاری تصاویر کوچک بسته دیگری از آمازون که توسط پستچی تحویل داده شده توسط Eufy در مقایسه با تمام داده کاوی و تجاوز به حریم خصوصی که ما از آن انجام داده ایم، واقعاً بد نیست. آمازون، گوگل، اپل و غیره

نتیجه

این را نوشتم زیرا با وجدان نمی توانستم دوربین Eufy 4G LTE Starlight را بدون پرداختن به این مشکل بررسی کنم.

من در بررسی های بعدی خود به این پست مراجعه خواهم کرد (حداقل تا زمانی که همه مشکلات حل شود) و تصمیم گیری در مورد مشکل بودن این به عهده شما، خریدار است.

همانطور که گفتم، مشکلات حریم خصوصی با Ring و از طریق پروکسی، Arlo، Blink و دیگران وجود داشت. مگر اینکه سیستم دوربین مداربسته خود را پیاده سازی کنید و آن را از اینترنت جدا نکنید، این مشکلی است که همیشه سر آن را بالا می برد. شما باید خطرات را در مقابل مزایای این راه حل های نظارتی با قابلیت استقرار آسان بسنجید.

در مورد من، من هرگز از دوربین های داخلی استفاده نکرده ام، آنها مرا شگفت زده می کنند و این فقط این باور را تأیید می کند.

[Original Post: 15th of December 2022]

[Updated Post: 2nd of February 2023] اطلاعات جدیدی اضافه شد که تأیید می کند مشکلات امنیتی برطرف شده است.