Eufy je po dveh mesecih priznal, da kamere le niso tako zelo varne, kot so oglaševali. Čeprav je malo verjetno, da nekdo prevzeme njihov podatkovni tok, to ni popolnoma izključeno!
Nadzorne kamere Eufy so med drugim priljubljene, ker jih zlahka uporabljate brez dodatnih stroškov, saj posnetke hranijo na lokalnem pomnilniku, ki je preko aplikacije ali spletnega portala dostopen od kjerkoli. Namesto da bi kamera, ko zazna gibanje ali osebo v vidnem polju (in je tako nastavljena), posneto sekvenco poslala v oblačno storitev na strežnik ponudnika, za kar ta običajno zahteva mesečno naročnino, na aplikacijo pošlje le sporočilo o dogodku z majhno sličico. Če posnetek želimo pogledati, zaženemo aplikacijo, da steče podatkovni tok od pomnilnika kamere preko interneta do telefona. Enako preprosto in brez dodatnih stroškov je opazovanje v živo. Da je komunikacija varna, je šifrirana od izvora do ponora (end to end). Tako so vsaj oglaševali v podjetju Eufy.
Poleg aplikacije je dostop do kamere (ali več njih) možen preko spletnega portala. In tu se je pojavila težava oziroma varnostna pomanjkljivost. Paul Moor je konec lanskega leta ugotovil, to pa so potrdili tudi drugi varnostni strokovnjaki, da kamera video zvonca pošilja slike na strežnik in da lahko njen podatkovni tok predvaja predvajalnik, kot je na primer VLC Media Player, če poznajo spletni naslov (URL). In s tem trditev Eufyja o šifriranju od izvora do ponora postavil na trhle noge. Predstavniki podjetja so pričakovano trditve zanikali in celo trdili, da podatkovnega toka kamer ni mogoče gledati na predvajalnikih tretjih oseb. Da ne bi prišlo do izkoriščanja odkrite pomanjkljivosti, strokovnjaki niso razkrili vsega. Toda, glede na povedano, naj bi bila shema naslova dokaj preprosta in jo je mogoče uganiti z metodo gole sile. Serijska številka kamere, ki je gotovo nekje zapisana, in še nekaj drugih podatkov. Še lažje je bilo naslov najti v spletnem portalu. V tem primeru morate sicer poznati uporabniško ime in geslo, a ker so nekaterih uporabniki relativno nemarni, vdor v račun ravno tako ni izključen. Kljub temu je malo verjetno, da bi vsak lahko vdrl in gledal video s sosedove kamere, a obenem tudi ne popolnoma nemogoče za veščega hekerja. A to pravzaprav ni jedro težave. Bistvo je, da kljub nasprotnim trditvam, komunikacija v tem primeru ni ustrezno šifrirana.
Po dveh mesecih izmikanj so predstavniki podjetja Anker, Eufy je namreč njihova blagovna znamka, končno za ameriški medijski portal The Verge priznali, da so ugotovitve resnične in da je bilo mogoče pridobiti nešifrirani video tok preko njihovega spletnega portala. Obenem so po domače rečeno obljubili, da se bodo poboljšali. Izkoristili storitve strokovnjakov, ki namenoma poskušajo vdreti v sistem, da bi našli njegove šibke točke. Priznani varnostni strokovnjaki bodo pripravili poročilo o varnosti sistemov. Ponudili bodo nagrade za odkrite napake in podrobneje predstavili varnostne protokole, ki jih uporabljajo njihovi izdelki. Marsikaj so že popravili. Uporabniki spletnega portala ne morejo uporabiti načina za odpravljanje napak, medtem ko je video tok kamer šifriran in nedostopen izven portala. Poleg tega bodo v svoje izdelke uvedli protokol WebRTC in obljubili pogostejše posodobitve.
Brez komentarjev