دوربین های Anker’s Eufy در حال آپلود محتوا در فضای ابری بدون رضایت کاربر دستگیر شدند


به نظر می‌رسد دوربین‌های امنیتی محبوب Anker با نام تجاری Eufy برخی از داده‌ها را به ابر ارسال می‌کنند، حتی زمانی که ذخیره‌سازی ابری غیرفعال است و تنظیمات ذخیره‌سازی فقط محلی روشن است. این اطلاعات از مشاور امنیتی پل مور است که هفته گذشته ویدئویی را منتشر کرد که این موضوع را تشریح کرد.

دوربین eufy
به گفته مور، او یک Eufy Doorbell Dual را خریداری کرد که قرار بود دستگاهی باشد که فیلم ضبط شده را روی دستگاه ذخیره کند. او دریافت که Eufy در حال آپلود تصاویر کوچک از چهره‌ها و اطلاعات کاربر در سرویس ابری خود است که عملکرد ابر فعال نیست.

مور آپلود غیرمجاز ابر را با اجازه دادن به دوربینش برای گرفتن تصویر و خاموش کردن Eufy HomeBase نشان می دهد. این وب‌سایت همچنان می‌تواند از طریق یکپارچه‌سازی ابری به محتوا دسترسی داشته باشد، اگرچه او برای سرویس ابری ثبت‌نام نکرده بود، و حتی زمانی که فیلم از برنامه Eufy حذف شود، همچنان قابل دسترسی است. توجه به این نکته مهم است که به نظر نمی‌رسد Eufy به طور خودکار ویدیوی پخش کامل را در فضای ابری آپلود می‌کند، بلکه عکس‌های گرفته شده از ویدیو را به‌عنوان تصاویر کوچک می‌گیرد.

تصاویر کوچک در برنامه Eufy برای فعال کردن پخش جریانی ویدیو از ایستگاه پایه Eufy استفاده می‌شود و به کاربران Eufy اجازه می‌دهد ویدیوهای خود را در زمان خارج از خانه تماشا کنند و همچنین برای ارسال اعلان‌های غنی. مشکل این است که تصاویر کوچک حتی زمانی که عملکرد ابر فعال نیست به طور خودکار در فضای ابری آپلود می شوند و همچنین به نظر می رسد Eufy از تشخیص چهره در آپلودها استفاده می کند. برخی از کاربران با آپلودهای غیرمجاز ابری مشکل دارند زیرا Eufy سرویس فقط محلی را تبلیغ می کند و در میان کسانی که خواهان راه حل دوربین خصوصی تری هستند محبوب بوده است. وب سایت Eufy می گوید: “بدون ابر یا هزینه”.

مور پیشنهاد می‌کند که Eufy همچنین می‌تواند داده‌های تشخیص چهره جمع‌آوری‌شده از دو دوربین مجزا و دو اپلیکیشن مجزا را بدون اطلاع صاحبان دوربین به کاربران مرتبط کند.

سایر کاربران Eufy به توییت مور پاسخ دادند و شاهد همین اتفاق افتادند و همچنین یک موضوع اختصاصی Reddit در این زمینه وجود دارد. مور دوربین زنگ در Eufy را آزمایش کرد، اما به نظر می‌رسد که عملکرد دوربین‌های دیگر Eufy نیز همین است. همانطور که مور نشان می دهد، پس از ورود به سیستم می توان به تصاویر با URL های ساده دسترسی داشت، که این یک خطر امنیتی بالقوه برای کسانی است که درگیر هستند. Eufy تماس پس‌زمینه‌ای را که تصاویر ذخیره‌شده را پس از توییت مور نشان می‌دهد، حذف کرد، اما فیلم را حذف نکرد.

مور پاسخی از Eufy دریافت کرد که در آن Eufy تأیید کرد که لیست‌ها و تصاویر کوچک رویدادها را در AWS آپلود می‌کند، اما گفت که داده‌ها نمی‌توانند «به عموم نشت کنند» زیرا URL محدود، زمان محدود است و نیاز به ورود به حساب کاربری دارد.

همچنین موضوع دیگری وجود دارد که مور آن را برجسته کرده است، و آن این است که می توان جریان های دوربین Eufy را با استفاده از برنامه ای مانند VLC به صورت زنده تماشا کرد، اما در حال حاضر اطلاعات کمی در مورد این اکسپلویت در دسترس است. مور گفت که محتوای رمزگذاری نشده دوربین Eufy بدون احراز هویت قابل دسترسی است که برای کاربران Eufy هشدار دهنده است.

ما برای نظر بیشتر در مورد مسئله Eufy با Anker تماس گرفته‌ایم و در صورت شنیدن پاسخ، این مقاله را به‌روزرسانی خواهیم کرد. مور گفت که با بخش حقوقی Eufy در تماس بوده است و قبل از اظهار نظر بیشتر به آنها زمان می‌دهد تا “تحقیق و اقدامات لازم را انجام دهند”.

(مرسی، درک!)



منبع