To nie pierwsza wpadka związana z ochroną prywatności użytkowników, jaką zalicza firma Eufy. Ujawniony w zeszłym roku błąd oprogramowania, pozwalał na uzyskanie dostępu do transmisji na żywo i zapisanych w kamerze nagrań innych użytkowników sprzętu tej firmy. Tym razem problem jest innej natury, a klienci mogą poczuć się zwyczajnie oszukani. Okazało się bowiem, iż mimo zapewnień producenta, część kamer przesyła obrazy do chmury choćby wtedy, gdy użytkownik zablokował w oprogramowaniu tę opcję. Drugi błąd, ujawniony niejako „przy okazji”, mógł umożliwić dostęp do niezaszyfrowanych, bieżących strumieni wideo z kamer, bez jakiegokolwiek uwierzytelnienia.
W zeszłym tygodniu Paul Moore, badacz bezpieczeństwa, odkrył, iż jego Eufy Doorbell Dual – do zakupu którego skłoniły go informacje marketingowe gwarantujące prywatność – przesyłał do chmury miniatury wideo i dane z rozpoznawania twarzy, mimo iż nigdy nie zdecydował się na usługi chmurowe firmy. Moore pokazuje na opublikowanym w serwisie YouTube materiale, iż zarówno obrazy przechwycone przez jego kamerę, jak i zdjęcie profilowe z konta Eufy można pobrać bez uwierzytelniania, przechodząc do powiązanego z nimi adresu URL. Firma twierdzi jednak, iż obrazy są zaszyfrowane i wydaje się, iż Moore był w stanie uzyskać do nich dostęp tylko dlatego, iż wcześniej zalogował się na swoje konto Eufy w tym samym oknie Incognito przeglądarki Chrome.
Moore odkrył również, iż kamera Eufy powiązana z innym kontem była w stanie zidentyfikować jego twarz dzięki tego samego unikalnego identyfikatora – co sugeruje, iż Eufy nie tylko przechowuje dane dotyczące rozpoznawania twarzy w chmurze, ale również udostępnia te informacje między różnymi kontami.
Moore twierdzi też, iż był w stanie oglądać materiał na żywo ze swojej kamery przez przeglądarkę internetową, bez żadnego uwierzytelnienia, po prostu przechodząc do adekwatnego adresu publicznego. Co zrozumiałe, nie przedstawił dowodu na istnienie tego konkretnego exploita, ale twierdzi, iż kontaktował się w tej sprawie z Eufy. Według Moore’a, Eufy twierdzi, iż obrazy są przechowywane na serwerach Amazon Web Services (AWS) tylko do momentu, gdy użytkownik odrzuci powiadomienie o zdarzeniu, po czym są usuwane. Nie jest to prawdą, co udowadnia Moore w osobnym filmie. Obrazy są przechowywane przez jakiś czas po odrzuceniu powiadomień, choć nie wiadomo, jak długo.
Eufy reaguje na zarzuty
Firma Eufy wyjaśnia w odpowiedzi na zarzuty, iż miniatury są przesyłane do AWS tylko wtedy, gdy powiadomienia o zdarzeniach użytkownika są ustawione tak, aby zawierały miniatury – domyślnie powiadomienia są wyłącznie tekstowe. Jednocześnie producent ma zmienić informacje marketingowe tak, aby informacja o przesyłaniu danych do chmury była jasna i klarowna dla wszystkich użytkownika. Eufy twierdzi również, iż te praktyki są zgodne ze standardami GDPR (RODO), a także usługą Apple Push Notification i standardami Firebase Cloud Messaging.
Paul Moore informuje, iż błąd związany z możliwością oglądania transmisji na żywo z innej kamery został już naprawiony, co powinno uspokoić większość użytkowników. Otwarte pytanie dotyczy danych rozpoznawania twarzy, z których korzystać mogą inne urządzenia Eufy. Będziemy śledzić rozwój wypadków i poinformujemy Was, gdy uzyskamy nowe informacje.