Eufy negó habernos mentido sobre la seguridad de las cámaras de seguridad

Anker ha construido una impresionante reputación de calidad durante la última década, convirtiendo su negocio de carga de teléfonos en un imperio que abarca todo tipo de dispositivos electrónicos portátiles, incluidas las cámaras de seguridad para el hogar Eufy que hemos recomendado a lo largo de los años. ioffe Compromiso con la privacidad Brillante: promete que sus datos se almacenan localmente, que «nunca abandonan la seguridad de su hogar», que sus instantáneas solo se envían con encriptación de grado militar «extremo a extremo» y que solo enviará eso material de archivo «directamente a su teléfono».

Entonces puede imaginar nuestra sorpresa cuando se entera de que puede transmitir video desde una cámara Eufy, desde el otro lado del país, sin ningún tipo de cifrado.

Parte del compromiso de privacidad de Anker Eufy.
Captura de pantalla de Sean Hollister / The Verge

Peor aún, aún no está claro qué tan extendido está esto, porque en lugar de abordarlo de frente, la compañía ha afirmado falsamente el borde Ni siquiera era posible.

El Día de Acción de Gracias, el consultor de información y comunicaciones Paul Moore y un hacker que se hace llamar wasabi Ambos alegaron Las cámaras Anker Eufy pueden transmitir sin cifrar a través de la nube, simplemente conectándose a una dirección única en los servidores de la nube Eufy utilizando el reproductor multimedia VLC gratuito.

Cuando le pedimos a Anker a quemarropa que confirmara o negara esto, la empresa lo negó categóricamente. “Puedo confirmar que no es posible iniciar una transmisión y ver imágenes en vivo usando un reproductor de terceros como VLC”, me dijo por correo electrónico Brett White, director de relaciones públicas de Anker.

Pero el borde Ahora se puede confirmar que esto no es cierto. Esta semana, hemos visto repetidamente imágenes en vivo de dos de nuestras cámaras Eufy usando el mismo reproductor multimedia VLC, de todo EE. UU., lo que demuestra que Anker tiene una forma de evitar el cifrado y acceder a estas cámaras supuestamente seguras a través de la nube.

Hay algunas buenas noticias: aún no hay evidencia de que esto haya sido explotado en la naturaleza, la forma en que inicialmente obtuvimos la dirección requería iniciar sesión con un nombre de usuario y contraseña antes de que el sitio web de Eufy lanzara la transmisión sin encriptación. (No estamos compartiendo la técnica exacta aquí).

Además, solo parece funcionar en cámaras activas. Tuvimos que esperar a que nuestra cámara con linterna detectara un automóvil que pasaba, o que su propietario presionara un botón, antes de que comenzara la transmisión de VLC.

El número de serie de 16 dígitos de la cámara, que probablemente aparece en la caja, es la parte más grande de la clave.

Pero también empeora: las mejores prácticas de Eufy parecen tan malas que los malos actores podrían averiguar la dirección de la transmisión de la cámara, porque esa dirección consiste en gran parte en El número de serie de su cámara Codificado en Base64, algo que puede revertir fácilmente con una simple calculadora en línea.

La dirección también incluye una marca de tiempo de Unix que puede generar fácilmente, un token que los servidores de Eufy no parecen verificar en realidad (cambiamos nuestro token a «papa arbitraria» y todavía funciona), y un hexágono aleatorio de cuatro dígitos de 65.536 combinaciones que fácilmente pueden convertirse en fuerza bruta.

“Definitivamente no es así como debería diseñar”, dice Jacob Thompson, ingeniero de vulnerabilidades de Mandiant. dice el borde. Por un lado, los números de serie no cambian, por lo que un mal actor puede dar, vender o donar una cámara a Goodwill y continuar viendo transmisiones en silencio. Pero también señala que las empresas tienden a no mantener en secreto sus números de serie. Algunos lo pegan directamente al estuche que venden en Best Buy, sí, incluido el Eufy.

En el lado positivo, los números de serie de Eufy tienen 16 caracteres y no son solo un número incrementado. «No podrá simplemente adivinar las identificaciones y comenzar a golpearlas», dice el asesor del equipo Mandiant Red, Dillon Frank, y lo llama la «gracia salvadora» de esta revelación. «No se ve tan mal como si el ID de usuario fuera 1000, luego intente con 1001, 1002, 1003».

Podría ser peor. Cuando un doctorado e investigador de seguridad georgia tech. El candidato Omar Al-Rawi estaba examinando las malas prácticas de hogares inteligentes en 2018 y vio que algunos dispositivos ocupaban su lugar. su dirección MAC Sin embargo, por seguridad, una dirección MAC tiene solo doce caracteres y, por lo general, puede averiguar solo los primeros seis al saber qué compañía fabricó una herramienta, explica.

«El número de serie ahora es fundamental para mantener la confidencialidad».

Pero tampoco sabemos cómo esos números de serie podrían haberse filtrado, o si Eufy podría proporcionarlos inadvertidamente a cualquiera que los solicite. «A veces, hay API que devolverán parte de esta información de identificación única», dice Franke. «El número de serie ahora es fundamental para mantener la confidencialidad, y no creo que vayan a manejarlo de esa manera».

Thompson también se pregunta si existen otros posibles vectores de ataque ahora que sabemos que las cámaras de Eufy no están completamente encriptadas: «Si la arquitectura les permite solicitar que la cámara comience a transmitir en cualquier momento, entonces cualquier persona con acceso administrativo tiene la capacidad de acceder a la Infraestructura de TI». Y mire su cámara», eso está muy lejos de la afirmación de Anker de que las imágenes «se envían directamente a su teléfono, y solo usted tiene la clave».

Por cierto, hay otras señales preocupantes de que las prácticas de seguridad de Anker pueden ser mucho más pobres de lo que parecen. Toda esta historia comenzó cuando Moore comenzó Comenzaron a tuitear acusaciones. que Eufy ha incumplido otras promesas de seguridad, incluida la carga de miniaturas (incluidos rostros) en la nube sin permiso y Error al eliminar los datos privados almacenados. Sin embargo, según los informes, Anker admitió lo primero. Llámalo un malentendido.

Lo más inquietante si esto es cierto, como él afirma Que la clave de cifrado de Eufy para su video es literalmente solo una cadena de texto sin formato «[email protected]». Esta frase también aparece En el repositorio de GitHub a partir de 2019muy.

él no negó el bordeUna pregunta sencilla de sí o no sobre si «@ZXSecurity17Cam» es la clave de cifrado.

Tampoco pudimos obtener más detalles de Moore; Decir el borde no puede comentar mas Ahora que la acción legal ha comenzado contra negado.

Ahora que Anker ha sido atrapado en algunas mentiras bastante grandes, será difícil confiar en todo lo que la compañía diga a continuación, pero para algunos, saber qué cámaras funcionan y qué no se comportan de esta manera, y si algo cambia, puede ser difícil. importante. Cuando Wyze tuvo una vulnerabilidad vagamente similar, la ocultó debajo de la alfombra durante tres años; Esperemos que Anker lo haga mucho mejor.

Algunos pueden no querer esperar o confiar más. El narrador me dijo: «Si me llegara esta noticia y esta cámara estuviera dentro de mi casa, inmediatamente la apagaría y no la usaría, porque no sé quién puede verla y quién no».

Wasabi, el ingeniero de seguridad que nos mostró cómo obtener la dirección de red de la cámara Eufy, dice que destruye todo lo que tiene. «¡Compré esto porque estaba tratando de ser consciente de la seguridad!» Gritó.

con Algunas cámaras Eufy seleccionadastal vez pueda intentar cambiarlo para usar HomeKit Secure Video de Apple en su lugar.

Con informes y pruebas de Jen Tuohy y Nathan Edwards

READ  El próximo Tesla podría admitir el desbloqueo de banda ultra ancha con iPhone

You May Also Like

About the Author: Pino Toribio

"Fanático de Internet en general. Gurú de Twitter sin complejos. Introvertido. Lector total. Ninja de la cultura pop. Entusiasta de las redes sociales".

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *