La caméra d'Eufy diffuse des URL et offre aux pirates une option facile de force brute
Eufy dément les affirmations selon lesquelles ses caméras peuvent être diffusées en direct sans cryptage.
Eufy a déclaré qu'elle ne télécharge pas de séquences identifiables sur le cloud à partir des flux de ses caméras utilisant VLC sans cryptage, simplement en se connectant à une adresse de serveur cloud supposée unique.
"eufy Security est en désaccord catégorique avec les accusations portées contre l'entreprise concernant la sécurité de nos produits. Cependant, nous comprenons que les récents événements aient pu susciter l'inquiétude de certains utilisateurs. Nous révisons et testons fréquemment nos fonctions de sécurité et encourageons le retour d'information de l'industrie de la sécurité au sens large afin de nous assurer que nous traitons toutes les vulnérabilités de sécurité crédibles. Si une vulnérabilité crédible est identifiée, nous prenons les mesures nécessaires pour la corriger. En outre, nous nous conformons à tous les organismes de réglementation appropriés sur les marchés où nos produits sont vendus. Enfin, nous encourageons les utilisateurs à contacter notre équipe d'assistance clientèle dédiée pour toute question", a déclaré Eufy.
Il a ajouté que l'idée que les caméras sans nuage d'Eufy téléchargent des vignettes avec des données faciales sur des serveurs en nuage était un malentendu, tout comme le fait que la société n'ait pas divulgué aux clients une caractéristique de son système de notification mobile. Interrogé à ce sujet, Brett White, un responsable des relations publiques chez Anker, la société mère d'Eufy, a déclaré : "Je peux confirmer qu'il n'est pas possible de lancer un flux et de regarder des images en direct à l'aide d'un lecteur tiers tel que VLC."
Toutes ces affirmations ont été faites après qu'un ingénieur en sécurité, identifié sur Twitter comme Wasabi Burns, a découvert des vulnérabilités permettant d'accéder à leurs images via le lecteur VLC, et ont été soutenues par le consultant en sécurité de l'information, Paul Moore, et Sean Hollister de The Verge.
Pour étayer ces affirmations, les rédacteurs de The Verge ont pu regarder des images en direct de deux caméras Eufy à travers les États-Unis en obtenant d'abord une adresse IP, puis en entrant un nom d'utilisateur et un mot de passe pour accéder à un flux, ce qui démontre qu'Anker a un moyen de contourner le cryptage et d'accéder à ces caméras ostensiblement sécurisées via le cloud. Les experts en sécurité affirment que cela ne fonctionne que sur les caméras actives, et tout cela se produit malgré la promesse marketing tapageuse d'Anker que ce ne sera pas le cas.
Bien que la méthode soit désormais plus difficile à mettre en œuvre, ce qui pourrait indiquer qu'eufy s'attaque désormais à ce problème, les acteurs de la menace peuvent toujours découvrir l'adresse du flux d'une caméra, car cette adresse est en grande partie constituée du numéro de série de la caméra encodé en Base64, qui peut être facilement inversé à l'aide d'un simple calculateur en ligne.
Les sources de cet article comprennent un article d'ArsTechnica.
Regardez cette actualité sur notre chaîne youtube : https://www.youtube.com/watch?v=urdz4AaEMo8