بحث و جدل در مورد امنیت Anker Eufy - من بیشتر نگران کمبود 2FA هستم

بحث و جدل در مورد امنیت Anker Eufy – من بیشتر نگران کمبود 2FA هستم

اشتراک گذاری مراقبت است!

من باید یک بررسی درباره دوربین Eufy 4G LTE Starlight بنویسم و ​​اخیراً EufyCam 3C عالی را بررسی کردم. من شروع به نوشتن این بررسی کردم و بخش طولانی را در مورد نگرانی های اخیر در مورد حریم خصوصی و امنیتی که اخیراً در مورد Eufy فاش شده است بحث کردم.

من امیدوار بودم که Eufy تصحیح کامل و عذرخواهی تا زمان نوشتن نقد خود ارائه دهد، اما در زمان نوشتن هیچ توضیح یا اصلاح کاملی ارائه نشده است.

به نظر می رسد دو مشکل اصلی که به وجود آمده است عبارتند از:

  • تصاویر کوچکی که دریافت می کنید باید در سرورهای AWS آپلود شوند، دسترسی مستقیم به این URL ها امکان پذیر است. مشکل اصلی این یکی این است که Eufy همیشه ادعا کرده است که چیزی روی هیچ سروری آپلود نمی شود.
  • به طور جدی تر، ادعاهایی وجود داشت مبنی بر اینکه امکان دسترسی از راه دور به فید زنده دوربین بدون احراز هویت وجود دارد.

تصاویر کوچک در سرورهای آمازون آپلود شده است

Eufy تا حدی به مشکل اول پرداخت. آنها آپلود تصاویر را متوقف نمی‌کنند زیرا مشخص می‌شود که برای ارائه این اعلان‌های غنی از ویژگی‌ها مجبور هستند.

اکنون، وقتی اعلان‌های غنی از ویژگی‌ها را انتخاب می‌کنید، هشداری دریافت می‌کنید که این داده‌ها در شرف بارگذاری هستند.

فید دوربین را از راه دور از طریق VLC مشاهده کنید، احتمالاً با استفاده از RTSP

متأسفانه، به نظر می رسد که آنها توضیح زیادی در مورد دسترسی از راه دور به فیدها ارائه نکرده اند. به نظر می رسد خطر سوء استفاده از این نقص امنیتی بسیار کم است.

ادعا می شود که فقط با دانستن آدرس منحصر به فرد در سرورهای ابری Eufy می توانید بدون رمزگذاری به جریان دوربین دسترسی پیدا کنید.

استفاده از آن سخت است زیرا برای اینکه بتوانید بدون رمزگذاری وارد وب سایت شوید و به جریان دسترسی داشته باشید، باید نام کاربری و رمز عبور Eufy را بدانید.

آدرس این استریم باید بر اساس شماره سریال دوربین کدگذاری شده در Base64 باشد. بنابراین بعید است که یک هکر تصادفی آن را بداند.

حتی اگر همه این اطلاعات را بدانید، URL استریم تنها زمانی کار می کند که دوربین فعال باشد. من 90٪ مطمئن هستم که این فقط کانال RTSP است که می توانید با دوربین هایی مانند Anker Eufycam 2C راه اندازی کنید.

این ایده آل نیست، اما امکان پخش محتوا از دوربین های امنیتی از راه دور چیزی است که بسیار رایج است. شما حتی به VLC با Eufy نیاز ندارید، اگر نام کاربری و رمز عبور (که برای دریافت URL استریم نیاز دارید) دارید، می توانید از راه دور بیدار شوید و فید دوربین را ببینید.

چرا 2FA برای Eufylife وجود ندارد؟

من در واقع بیشتر نگران این واقعیت هستم که شما می توانید به حساب Eufy خود وارد شوید و این کار را انجام دهید. به نظر می رسد Eufy 2FA ندارد، بنابراین دسترسی به حساب کاربری آسان تر از حدس زدن URL کانال RTSP به نظر می رسد. شما همچنین کنترل مناسبی بر روی دوربین خواهید داشت، نه فقط زمانی که حرکت فعال باشد.

در سال 2019، به دلیل اینکه امکان ورود به یک حساب کاربری و تماشای جریان از راه دور بدون احراز هویت اضافی وجود داشت، نگرانی هایی در مورد حفظ حریم خصوصی Ring وجود داشت. این کابوس روابط عمومی باعث شد Ring، Arlo و Blink به سرعت 2FA را پیاده سازی کنند. متأسفانه، به نظر می رسد یوفی یادداشت را از دست داده است.

همش بخاطر بی صداقتی

عدم وجود 2FA برای من یک مشکل است و فکر می کنم Eufy در آینده نزدیک این را اجرا کند.

من در مورد بیت های دیگر چندان نگران نیستم، شک دارم که آنها هیچ خطر امنیتی برای من داشته باشند. با این حال، کاربران به درستی اشاره می کنند که Eufy با ادعاهای بازاریابی خود صادق نبوده است. آنها اظهار داشتند که هیچ کدام از اینها امکان پذیر نیست، هیچ چیز آنلاین نمی شود. به نظر می رسد که بسیاری از واکنش ها از آنجا ناشی می شود.

من از شر دوربین های Eufy خلاص نمی شوم

احتمالاً بی تفاوتی از طرف من است، اما دوربین هایم را نگه می دارم. می دانم که نباید آنقدر از خود راضی باشم، اما در طرح بزرگ همه چیز، بارگذاری تصاویر کوچک بسته دیگری از آمازون که توسط پستچی تحویل داده شده توسط Eufy در مقایسه با تمام داده کاوی و تجاوز به حریم خصوصی که ما از آن انجام داده ایم، واقعاً بد نیست. آمازون، گوگل، اپل و غیره

نتیجه

این را نوشتم زیرا با وجدان نمی توانستم دوربین Eufy 4G LTE Starlight را بدون پرداختن به این مشکل بررسی کنم.

من در بررسی های بعدی خود به این پست مراجعه خواهم کرد (حداقل تا زمانی که همه مشکلات حل شود) و تصمیم گیری در مورد مشکل بودن این به عهده شما، خریدار است.

همانطور که گفتم، مشکلات حریم خصوصی با Ring و از طریق پروکسی، Arlo، Blink و دیگران وجود داشت. مگر اینکه سیستم دوربین مداربسته خود را پیاده سازی کنید و آن را از اینترنت جدا نکنید، این مشکلی است که همیشه سر آن را بالا می برد. شما باید خطرات را در مقابل مزایای این راه حل های نظارتی با قابلیت استقرار آسان بسنجید.

در مورد من، من هرگز از دوربین های داخلی استفاده نکرده ام، آنها مرا شگفت زده می کنند و این فقط این باور را تأیید می کند.