Die Kamera von Eufy streamt URLs und bietet Hackern eine einfache Brute-Force-Option
Eufy bestreitet die Behauptung, dass seine Kameras ohne Verschlüsselung live gestreamt werden können.
Eufy erklärte, dass es keine identifizierbaren Aufnahmen von seinen Kamerastreams mit VLC unverschlüsselt in die Cloud hochlädt, indem es sich einfach mit einer angeblich eindeutigen Cloud-Server-Adresse verbindet.
"eufy Security weist die gegen das Unternehmen erhobenen Vorwürfe bezüglich der Sicherheit unserer Produkte entschieden zurück. Wir verstehen jedoch, dass die jüngsten Ereignisse bei einigen Nutzern Besorgnis ausgelöst haben. Wir überprüfen und testen unsere Sicherheitsfunktionen regelmäßig und bitten die Sicherheitsbranche um Feedback, um sicherzustellen, dass wir alle glaubwürdigen Sicherheitslücken schließen. Wenn eine glaubwürdige Sicherheitslücke festgestellt wird, ergreifen wir die notwendigen Maßnahmen, um sie zu beheben. Darüber hinaus halten wir uns an alle zuständigen Aufsichtsbehörden in den Märkten, in denen unsere Produkte verkauft werden. Schließlich ermutigen wir die Benutzer, sich bei Fragen an unser engagiertes Kundensupport-Team zu wenden", so Eufy.
Er fügte hinzu, dass die Idee, dass die Cloud-freien Kameras von Eufy Miniaturbilder mit Gesichtsdaten auf Cloud-Server hochladen, ein Missverständnis war, ebenso wie das Versäumnis des Unternehmens, den Kunden eine Funktion seines mobilen Benachrichtigungssystems mitzuteilen. Auf Nachfrage sagte Brett White, Senior Public Relations Manager bei Anker, der Muttergesellschaft von Eufy: "Ich kann bestätigen, dass es nicht möglich ist, einen Stream zu starten und Live-Aufnahmen mit einem Player eines Drittanbieters wie VLC anzusehen."
All diese Behauptungen wurden aufgestellt, nachdem ein Sicherheitsingenieur, der auf Twitter als Wasabi Burns identifiziert wurde, Schwachstellen entdeckte, die den Zugriff auf ihr Filmmaterial über den VLC-Player ermöglichen, und von dem Informationssicherheitsberater Paul Moore und Sean Hollister von The Verge unterstützt wurde.
Um diese Behauptungen zu untermauern, konnten die Redakteure von The Verge Live-Aufnahmen von zwei Eufy-Kameras aus den USA ansehen, indem sie zunächst eine IP-Adresse erhielten und dann einen Benutzernamen und ein Kennwort eingaben, um Zugang zu einem Feed zu erhalten, was zeigt, dass Anker eine Möglichkeit hat, die Verschlüsselung zu umgehen und über die Cloud auf diese angeblich sicheren Kameras zuzugreifen. Sicherheitsexperten behaupten, dass dies nur bei aktiven Kameras funktioniert, und all dies geschieht trotz Ankers lautem Marketingversprechen, dass dies nicht der Fall ist.
Obwohl die Methode jetzt schwieriger zu implementieren ist, was darauf hindeuten könnte, dass eufy sich jetzt mit dem Problem befasst, können Bedrohungsakteure immer noch die Adresse eines Kamerafeeds herausfinden, da diese Adresse größtenteils aus der in Base64 kodierten Seriennummer einer Kamera besteht, die mit einem einfachen Online-Rechner leicht umgedreht werden kann.
Zu den Quellen für diesen Beitrag gehört ein Artikel in ArsTechnica.
Sehen Sie sich diese Nachricht auf unserem YouTube-Kanal an: https://www.youtube.com/watch?v=urdz4AaEMo8