Anker hat sich in den letzten zehn Jahren einen bemerkenswerten Ruf für Qualität aufgebaut und sein Geschäft mit Telefonladegeräten zu einem Imperium ausgebaut, das alle Arten kleiner Elektronik umfasst – einschließlich der Ufi-Überwachungskameras, die wir seit Jahren empfehlen. von Euphy Verpflichtung zum Datenschutz Bemerkenswert: Es verspricht, dass Ihre Daten lokal gespeichert werden, dass sie „niemals die Sicherheit Ihres Hauses verlassen“ und dass das Filmmaterial mit „End-to-End“-Verschlüsselung auf Militärniveau gesendet wird, und nur das. Ansichten „direkt auf Ihr Telefon.“
Sie können sich also unsere Überraschung vorstellen, als wir erfuhren, dass wir Videos von einer Ufi-Kamera von der anderen Seite des Landes ohne Verschlüsselung streamen können.
Noch schlimmer ist, dass immer noch unklar ist, wie verbreitet dies sein könnte – denn anstatt es direkt zu sagen, hat das Unternehmen es falsch dargestellt. an der Kante Das ist gar nicht möglich.
Am Thanksgiving Day, Infosec-Berater Paul Moore und ein Hacker, der sich Wasabi nennt Beide angeklagt Die Eufy-Kameras von Anker können unverschlüsselt durch die Cloud streamen – indem eine private Adresse auf den Cloud-Servern von Eufy mit dem kostenlosen VLC-Mediaplayer verbunden wird.
Als wir Anchor baten, dies zu bestätigen oder abzulehnen, lehnte das Unternehmen dies kategorisch ab. „Ich kann bestätigen, dass es nicht möglich ist, einen Player eines Drittanbieters wie VLC zu verwenden, um einen Stream zu starten und Live-Aufnahmen anzusehen“, sagte mir Brett White, Senior PR Manager von Anker, per E-Mail.
Aber an der Kante Jetzt können wir bestätigen, dass das nicht stimmt. Diese Woche haben wir wiederholt Live-Aufnahmen von zwei unserer eigenen Eufy-Kameras in den USA mit demselben VLC-Mediaplayer angesehen – was beweist, dass es eine Möglichkeit gibt, die Anker-Verschlüsselung zu umgehen und über die Cloud auf diese sicheren Kameras zuzugreifen.
Es gibt gute Nachrichten: Es gibt noch keine Beweise dafür, dass es in freier Wildbahn ausgenutzt wurde, und die Art und Weise, wie wir zuerst die Adresse erhalten haben, die erforderlich ist, um sich mit einem Benutzernamen und einem Passwort anzumelden, bevor die Website von Eufy einen unverschlüsselten Stream ausspuckte. (Wir teilen hier nicht die genaue Technik.)
Außerdem funktioniert es nur bei wachen Kameras. Wir mussten warten, bis unsere Flutlichtkamera ein vorbeifahrendes Auto erkannte oder der Besitzer einen Knopf drückte, bevor der VLC-Stream zum Leben erwachte.
Die 16-stellige Seriennummer Ihrer Kamera – sichtbar auf der Verpackung – ist der größte Teil des Schlüssels
Aber es kommt noch schlimmer: Die Best Practices von Eufy scheinen so fehlerhaft zu sein, dass schlechte Schauspieler die Adresse des Kamera-Feeds herausfinden können – denn diese Adresse enthält oft Die Seriennummer Ihrer Kamera In Base64 kodiert, können Sie ganz einfach mit einem einfachen Online-Rechner umrechnen.
Die Adresse enthält auch einen Unix-Zeitstempel, den Sie leicht generieren können, ein Token, das die Ufi-Server anscheinend nicht wirklich validieren (wir haben unser Token in „beliebige Kartoffel“ geändert und es funktioniert immer noch) und ein vierstelliges zufälliges Hex mit 65.536 Kombinationen. Kann leicht brutal erzwungen werden.
„So hätte es definitiv nicht konzipiert werden sollen“, sagte Jacob Thompson, Schwachstelleningenieur bei Montiant sagt an der Kante. Zum einen ändern sich die Seriennummern nicht, sodass ein schlechter Schauspieler die Kamera an Goodwill verschenken oder verkaufen oder spenden und die Feeds ruhig weiter beobachten kann. Er wies aber auch darauf hin, dass Unternehmen dazu neigen, ihre Seriennummern nicht geheim zu halten. Einige halten sich an die Box, die sie bei Best Buy verkaufen – ja, einschließlich Yuffie.
Auf der positiven Seite sind die Seriennummern von Eufy 16 Zeichen lang und keine steigende Zahl. „Sie können die IDs nicht einfach erraten und anfangen, sie zu treffen“, sagt Dillon Franke, ein Berater des Montiant Red-Teams, der sagt, dies sei die „rettende Gnade“ dieser Enthüllung. „Es sieht nicht so schlimm aus wie die Benutzer-ID 1000, dann versuchen Sie es mit 1001, 1002, 1003.“
Es könnte schlimmer sein. Ein Georgia Tech Sicherheitsforscher und Ph.D. Der Kandidat Omar AlRawi studierte 2018 Smart-Home-Praktiken, als er feststellte, dass er einige Geräte wechselte. ihre eigene MAC-Adresse Er erklärt, dass, obwohl eine MAC-Adresse nur zwölf Zeichen lang ist – nur um sicherzugehen – Sie die ersten sechs Zeichen normalerweise herausfinden können, wenn Sie wissen, welche Firma ein Gadget hergestellt hat.
„Jetzt ist die Seriennummer zu wichtig, um sie geheim zu halten.“
Aber wir wissen auch nicht, wie diese Seriennummern sonst durchgesickert sein könnten oder ob Yuffie sie unwissentlich an jeden weitergeben könnte, der danach fragt. „Manchmal gibt es APIs, die eindeutige ID-Informationen zurückgeben“, sagt Frank. „Jetzt ist die Seriennummer zu wichtig, um sie geheim zu halten, und ich glaube nicht, dass sie sie so behandeln würden.“
Thompson fragt sich, ob es andere potenzielle Angriffsvektoren gibt, da wir wissen, dass die Kameras von Eufy nicht vollständig verschlüsselt sind: „Wenn es eine Architektur gibt, die angewiesen werden kann, eine Kamera jederzeit zu streamen, kann jeder mit Administratorzugriff darauf zugreifen. Sehen Sie sich die IT-Infrastruktur und Ihre Kamera an“, warnt er. Das ist weit entfernt von Ankers Behauptung, dass Aufrufe „direkt an Ihr Telefon gesendet werden – Sie sind der einzige, der den Schlüssel hat“.
Und es gibt andere beunruhigende Anzeichen dafür, dass die Sicherheitspraktiken von Anchor schlechter sein könnten, als es vermuten lässt. Diese ganze Geschichte begann mit dem Infosec-Berater Moore Er fing an, Vorwürfe zu twittern Eufy hat andere Sicherheitsversprechen gebrochen, einschließlich des Hochladens von Miniaturbildern (einschließlich Gesichtern) in die Cloud ohne Erlaubnis und Versäumnis, gespeicherte personenbezogene Daten zu löschen. Berichten zufolge hat Anker dem ersteren zugestimmt, aber Das ist ein Missverständnis.
Die Wahrheit ist sehr beunruhigend Er sagt auch Der Verschlüsselungsschlüssel für Eufys Videomaterial ist nur die Klartextzeichenfolge „ZXSecurity17Cam@“. Dieser Satz kommt auch vor Seit 2019 in einem GitHub-Repozu.
Anker antwortete nicht an der KanteEine einfache Ja- oder Nein-Frage, ob „ZXSecurity17Cam@“ ein Verschlüsselungsschlüssel ist.
Weitere Details konnten von Moore nicht erhalten werden. Er sagte an der Kante Weiter konnte er sich nicht äußern Nun hat er ein Gerichtsverfahren eingeleitet Gegen den Anker.
Jetzt, wo Anker bei einigen großen Lügen erwischt wurde, wird es schwer zu glauben sein, was das Unternehmen als nächstes sagt – aber für einige könnte es wichtig sein zu wissen, welche Kameras auf diese Weise funktionieren und welche nicht, wenn sich etwas ändert. Dann wenn Während Wyze eine vage ähnliche Schwachstelle hatte, kehrte sie diese drei Jahre lang unter den Teppich; Nein, der Anker wird es viel besser machen.
Einige sind nicht bereit zu warten oder zu glauben. „Als ich diese Nachricht sah, würde ich, wenn ich diese Kamera in meinem Haus hätte, sie sofort ausschalten und nicht benutzen, weil ich nicht weiß, wer sie sehen kann und wer nicht“, erzählt mir Alrawi.
Wasabi, der Sicherheitsingenieur, der uns gezeigt hat, wie man die Netzwerkadresse einer Ufi-Kamera erhält, sagt, dass er alle seine entfernt. „Ich habe diese gekauft, weil ich versucht habe, sicherheitsbewusst zu sein!“ ruft er aus.
mit Einige spezielle Eufy-KamerasSie können versuchen, sie zu ändern, um stattdessen Apples HomeKit Secure Video zu verwenden.
Mit Berichten und Tests von Jen Tuohy und Nathan Edwards