해커에게 쉬운 무차별 대입 옵션을 제공하는 Eufy의 카메라 스트림 URL

Eufy는 자사 카메라가 암호화 없이 라이브 스트리밍이 가능하다는 주장을 부인합니다.

Eufy는 단순히 고유한 클라우드 서버 주소에 연결하여 암호화 없이 VLC를 사용하여 카메라 스트림에서 식별 가능한 영상을 클라우드에 업로드하지 않는다고 밝혔습니다.

"유피 시큐리티는 당사 제품의 보안과 관련하여 당사에 제기된 혐의에 대해 단호하게 동의하지 않습니다. 그러나 최근 발생한 사건으로 인해 일부 사용자가 우려를 표명했을 수 있음을 이해합니다. 저희는 보안 기능을 자주 검토 및 테스트하고 광범위한 보안 업계의 피드백을 수렴하여 신뢰할 수 있는 모든 보안 취약점을 해결하도록 노력하고 있습니다. 신뢰할 수 있는 취약점이 확인되면 이를 수정하기 위해 필요한 조치를 취합니다. 또한 트위터는 제품이 판매되는 시장의 모든 관련 규제 기관을 준수합니다. 마지막으로, 사용자가 궁금한 점이 있으면 전담 고객 지원팀에 문의할 것을 권장합니다."라고 Eufy는 말합니다.

또한 Eufy의 클라우드 프리 카메라가 얼굴 데이터가 포함된 썸네일을 클라우드 서버에 업로드한다는 것은 모바일 알림 시스템의 기능을 고객에게 공개하지 않은 것과 마찬가지로 오해였다고 덧붙였습니다. 이에 대한 질문에 Eufy의 모회사인 Anker의 수석 홍보 매니저인 브렛 화이트는 "VLC와 같은 타사 플레이어를 사용하여 스트리밍을 시작하고 라이브 영상을 시청하는 것은 불가능하다는 것을 확인할 수 있습니다."라고 답했습니다.

이 모든 주장은 트위터에서 와사비 번스라고 밝힌 보안 엔지니어가 VLC 플레이어를 통해 영상에 접근할 수 있는 취약점을 발견한 후 정보 보안 컨설턴트인 폴 무어와 더버지의 숀 홀리스터의 지원을 받아 제기되었습니다.

이러한 주장을 뒷받침하기 위해 더버지 편집자들은 미국 전역에 있는 두 대의 Eufy 카메라의 실시간 영상을 볼 수 있었는데, 먼저 IP 주소를 얻은 다음 사용자 이름과 비밀번호를 입력하여 피드에 액세스함으로써 Anker가 암호화를 우회하고 클라우드를 통해 표면적으로 안전한 카메라에 액세스할 수 있다는 것을 보여주었습니다. 보안 전문가들은 이 기능이 작동 중인 카메라에서만 작동한다고 주장하며, 이 모든 것이 Anker의 시끄러운 마케팅 약속에도 불구하고 일어나고 있습니다.

이 방법은 이제 구현하기가 더 어려워져 eufy가 이 문제를 해결하고 있지만, 카메라 피드의 주소는 대부분 Base64로 인코딩된 카메라의 일련 번호로 구성되며 간단한 온라인 계산기로 쉽게 되돌릴 수 있기 때문에 위협 행위자는 여전히 카메라의 주소를 알아낼 수 있습니다.

이 글의 출처는 ArsTechnica의 기사입니다.

유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=urdz4AaEMo8

요약

기사 이름

해커에게 쉬운 무차별 대입 옵션을 제공하는 Eufy의 카메라 스트림 URL

설명

Eufy는 암호화 없이 카메라를 라이브 스트리밍할 수 있다는 주장을 부인합니다. Eufy는 식별 가능한 영상을 클라우드에 업로드하지 않는다고 주장합니다.

작성자

오반라 오페예미

게시자 이름

TuxCare

게시자 로고