Anker telah membangun reputasi yang mengesankan untuk kualitas selama dekade terakhir, membangun bisnis pengisian daya ponselnya menjadi sebuah kerajaan yang mencakup semua jenis elektronik portabel — termasuk kamera keamanan rumah Eufy yang kami rekomendasikan selama bertahun-tahun. ioffe Komitmen terhadap privasi Cemerlang: Menjanjikan bahwa data Anda disimpan secara lokal, bahwa “tidak pernah meninggalkan keamanan rumah Anda”, bahwa snapshotnya hanya dikirim dengan enkripsi tingkat militer “end-to-end”, dan itu hanya akan mengirim itu rekaman “langsung ke ponsel Anda.”

Jadi Anda dapat membayangkan keterkejutan kami ketika mengetahui bahwa Anda dapat melakukan streaming video dari kamera Eufy, dari sisi lain negara, tanpa enkripsi apa pun.

Lebih buruk lagi, belum jelas seberapa luas hal ini – karena alih-alih menanganinya secara langsung, perusahaan telah mengklaim secara salah tepi Itu bahkan tidak mungkin.

Pada Hari Thanksgiving, konsultan informasi dan komunikasi Paul Moore dan seorang peretas yang dikenal dengan wasabi Keduanya diduga Kamera Anker Eufy dapat melakukan streaming tanpa enkripsi melalui cloud – hanya dengan menyambungkan ke alamat unik di server cloud Eufy menggunakan pemutar media VLC gratis.

Ketika kami meminta Anker Point-blank untuk mengonfirmasi atau menyangkal hal ini, perusahaan dengan tegas menolaknya. “Saya dapat mengonfirmasi bahwa tidak mungkin memulai streaming dan menonton rekaman langsung menggunakan pemutar pihak ketiga seperti VLC,” kata Brett White, direktur hubungan masyarakat di Anker, kepada saya melalui email.

Tetapi tepi Sekarang dapat dipastikan bahwa ini tidak benar. Minggu ini, kami telah berulang kali melihat cuplikan langsung dari dua kamera Eufy kami menggunakan pemutar media VLC yang sama, dari seluruh AS — membuktikan bahwa Anker memiliki cara untuk melewati enkripsi dan mengakses kamera yang dianggap aman ini melalui cloud.

Ada beberapa kabar baik: belum ada bukti bahwa ini pernah dieksploitasi di alam liar, cara kami awalnya mendapatkan alamat yang diperlukan masuk dengan nama pengguna dan kata sandi sebelum situs web Eufy meluncurkan aliran bebas enkripsi. (Kami tidak membagikan teknik yang tepat di sini.)

Selain itu, sepertinya hanya berfungsi pada kamera aktif. Kami harus menunggu kamera senter kami mendeteksi mobil yang lewat, atau pemiliknya menekan tombol, sebelum aliran VLC dimulai.

Tapi itu juga menjadi lebih buruk: praktik terbaik Eufy tampak sangat jelek sehingga aktor jahat mungkin dapat mengetahui alamat umpan kamera — karena alamat itu sebagian besar terdiri dari Nomor seri kamera Anda Dikodekan dalam Base64, sesuatu yang dapat Anda balikkan dengan mudah menggunakan kalkulator online sederhana.

Alamat tersebut juga menyertakan stempel waktu Unix yang dapat Anda hasilkan dengan mudah, token yang tampaknya tidak benar-benar diperiksa oleh server Eufy (kami mengubah token kami menjadi “kentang arbitrer” dan masih berfungsi), dan hex acak empat digit dari 65.536 kombinasi yang dapat dengan mudah menjadi kekerasan.

“Ini jelas bukan cara Anda mendesain,” kata Jacob Thompson, insinyur kerentanan di Mandiant. Memberitahu tepi. Untuk satu hal, nomor seri tidak berubah, jadi aktor jahat dapat memberikan, menjual, atau menyumbangkan kamera ke Goodwill dan terus menonton feed secara diam-diam. Namun dia juga menunjukkan bahwa perusahaan cenderung tidak merahasiakan nomor seri mereka. Beberapa menempelkannya langsung ke casing yang mereka jual di Best Buy — ya, termasuk Eufy.

Di sisi positifnya, nomor seri Eufy panjangnya 16 karakter dan bukan hanya angka yang bertambah. “Anda tidak akan bisa hanya menebak ID dan mulai memukulnya,” kata penasihat tim Mandiant Red Dillon Frank, menyebutnya sebagai “anugrah” dari pengungkapan ini. “Tidak terlihat seburuk jika UserID adalah 1000, lalu coba 1001, 1002, 1003.”

Itu bisa menjadi lebih buruk. Ketika seorang phd dan peneliti keamanan georgia tech. Kandidat Omar Al-Rawi sedang memeriksa praktik rumah pintar yang buruk pada tahun 2018, dan dia melihat beberapa perangkat menggantikannya alamat MAC mereka Untuk keamanan — meskipun, alamat MAC hanya terdiri dari dua belas karakter, dan biasanya Anda hanya dapat mengetahui enam karakter pertama dengan mengetahui perusahaan mana yang membuat alat, jelasnya.

Tapi kami juga tidak tahu bagaimana nomor seri itu bisa bocor, atau apakah Eufy mungkin secara tidak sengaja memberikannya kepada siapa pun yang bertanya. “Terkadang ada API yang akan mengembalikan beberapa informasi pengidentifikasi unik ini,” kata Franke. “Nomor seri sekarang penting untuk menjaga kerahasiaan, dan saya rasa mereka tidak akan menanganinya seperti itu.”

Thompson juga bertanya-tanya apakah ada vektor serangan potensial lainnya sekarang karena kita tahu kamera Eufy tidak sepenuhnya dienkripsi: “Jika arsitektur memungkinkan mereka meminta kamera untuk memulai streaming kapan saja, maka siapa pun yang memiliki akses administratif memiliki kemampuan untuk mengaksesnya. Infrastruktur TI.” Dan perhatikan kamera Anda,” itu jauh dari klaim Anker bahwa rekaman itu “dikirim langsung ke ponsel Anda — dan hanya Anda yang memiliki kuncinya.”

Kebetulan, ada tanda-tanda meresahkan lainnya bahwa praktik keamanan Anker mungkin jauh lebih buruk daripada yang mereka tunjukkan. Seluruh cerita ini dimulai ketika Moore memulai Mereka mulai men-tweet tuduhan bahwa Eufy telah melanggar janji keamanan lainnya, termasuk mengunggah thumbnail (termasuk wajah) ke cloud tanpa izin dan Gagal menghapus data pribadi yang tersimpan. Namun Anker dilaporkan mengakui yang pertama Sebut saja kesalahpahaman.

Paling meresahkan jika ini benar, seperti yang dia klaim Bahwa kunci enkripsi Eufy untuk videonya secara harfiah hanyalah string teks biasa “ZXSecurity17Cam@”. Frasa ini juga muncul Di repositori GitHub pada 2019sangat.

Dia tidak menyangkal tepiPertanyaan langsung ya-atau-tidak tentang apakah “@ZXSecurity17Cam” adalah kunci enkripsi.

Kami juga tidak bisa mendapatkan detail lebih lanjut dari Moore; Memberi tahu tepi Dia tidak bisa berkomentar lebih jauh Sekarang tindakan hukum telah dimulai melawan disangkal.

Sekarang Anker telah terjebak dalam beberapa kebohongan yang cukup besar, akan sulit untuk mempercayai semua yang dikatakan perusahaan selanjutnya – tetapi bagi sebagian orang, mengetahui kamera mana yang berfungsi dan tidak berperilaku seperti ini, dan jika dan ketika ada perubahan, bisa jadi penting. Ketika Wyze memiliki kerentanan yang hampir sama, ia menutupinya selama tiga tahun; Saya harap Anker jauh lebih baik.

Beberapa mungkin tidak ingin menunggu atau percaya lagi. Narator berkata kepada saya, “Jika berita ini sampai kepada saya dan kamera ini ada di dalam rumah saya, saya akan segera mematikannya dan tidak menggunakannya, karena saya tidak tahu siapa yang boleh menonton dan siapa yang tidak.”

Wasabi, insinyur keamanan yang menunjukkan kepada kami cara mendapatkan alamat jaringan kamera Eufy, mengatakan dia mencabik-cabik semua yang dimilikinya. “Saya membeli ini karena saya berusaha sadar akan keselamatan!” Teriak.

dengan Beberapa memilih kamera Eufymungkin Anda dapat mencoba mengalihkannya menggunakan Video Aman HomeKit Apple sebagai gantinya.

Dengan pelaporan dan pengujian oleh Jen Tuohy dan Nathan Edwards