Kamera “Tanpa awan” Eufy mengunggah gambar mini wajah ke AWS

image featured from : unsplash.com

Perusahaan mengatakan seharusnya memberi tahu pengguna dengan lebih baik tentang cara mengirimkan peringatan seluler. Eufy, merek rumah pintar dari perusahaan aksesori teknologi Anker, telah menjadi populer di antara beberapa pembeli kamera keamanan yang mengutamakan privasi. Kamera bel pintu dan perangkat lainnya dengan bangga menyatakan memiliki “Tanpa Awan atau Biaya”, dan bahwa “tidak ada yang memiliki akses ke data Anda selain Anda”.

Itulah mengapa serangkaian tweet dan video konsultan keamanan dan peneliti Paul Moore, yang menunjukkan bahwa kamera Eufy mengunggah gambar mini bertanda nama ke server cloud untuk memperingatkan ponsel pemilik, yang kemungkinan besar tidak terenkripsi, menyengat rumah pintar dan penggemar keamanan dengan sangat keras minggu ini.

Moore, yang berbasis di Inggris, mulai mengajukan pertanyaan retoris Eufy tentang praktiknya di Twitter mulai 21 November. “Mengapa ‘penyimpanan lokal” #doorbellDual saya menyimpan setiap wajah, tanpa enkripsi, ke server Anda? Mengapa saya dapat melakukan streaming kamera saya tanpa #otentikasi?!” Moore juga memposting baris dari “kode sumber & respons API” yang menyarankan kunci AES yang sangat lemah digunakan untuk mengenkripsi rekaman video.

Pada 23 November, Moore mengupload video yang mendemonstrasikan temuannya. Dengan Eufy Homebase-nya dicabut, Moore berjalan di depan kameranya. Dari browser web penyamaran, Moore dapat menampilkan gambar mini dirinya, gambar umpan sesaat sebelum dia terlihat, dan mungkin nomor ID yang lebih mengkhawatirkan yang menunjukkan wajahnya yang dikenali dan statusnya sebagai pemilik kamera.

Sehari kemudian, firma keamanan SEC Consult meringkas dua tahun menganalisis EufyCam 2, mencatat transfer thumbnail serupa melalui cloud Amazon Web Services. Perusahaan juga melihat kunci yang lemah, menyarankan “kunci enkripsi/dekripsi hard-coded yang identik untuk semua perangkat Homebase yang dijual,” meskipun tidak jelas kunci apa yang digunakan.

SEC Consult mencatat bahwa Eufy tampaknya telah memperketat keamanannya sejak Mei 2021, ketika pengguna tiba-tiba diberi akses hampir penuh ke akun orang lain. “Tapi sayangnya, thumbnail dari semua gambar yang direkam tampaknya masih ditransfer ke AWS, jadi perangkat tidak sesuai dengan persyaratan privasi kami.” SEC mengatakan pihaknya meningkatkan publikasi temuannya berdasarkan tweet Moore, dan “dengan mania belanja [Black Friday] sudah dekat.”

Moore kemudian memposting tanggapan dari Eufy atas temuannya, di mana perwakilan dukungan Eufy menyatakan bahwa thumbnail dibatasi oleh login akun, dan URL “akan kedaluwarsa dalam 24 jam” kecuali jika pengguna membagikannya. Perwakilan Eufy juga mencatat bahwa Eufy “melihatnya sebelumnya” dan berencana untuk membuat thumbnail toko Homebase 3 secara lokal juga.

Moore juga mengklaim dalam tweet selanjutnya, yang ditandai dengan tangkapan layar pengguna lain, bahwa Anda dapat memulai dan memantau aliran kamera Eufy dari jarak jauh melalui VLC tanpa otentikasi atau enkripsi. Moore menyatakan bahwa dia tidak dapat merilis bukti konsep untuk kerentanan tersebut. Dia juga men-tweet bahwa Eufy menyangkal tuntutan hukum pra-tindakannya terhadap perusahaan, “menolak kompensasi,” tetapi juga, menurut Moore, menawarinya pekerjaan.

Akhirnya, pada hari Senin, Moore tweeted dia “melakukan diskusi panjang dengan departemen hukum [Eufy]” dan selanjutnya akan “memberi mereka waktu untuk menyelidiki dan mengambil tindakan yang sesuai” dan menolak berkomentar lebih lanjut. Kami telah mengirim email kepada Moore untuk memberikan komentar, tetapi belum mendapat balasan hingga posting ini (seperti yang disarankan dalam tweetnya).

Eufy, sementara itu, menanggapi Ars dan outlet lainnya dengan sebuah pernyataan. Eufy menegaskan bahwa rekaman video dan “teknologi pengenalan wajah” “semuanya diproses dan disimpan secara lokal di perangkat pengguna”. Namun, untuk notifikasi push seluler, gambar thumbnail “disimpan secara singkat dan aman di server cloud berbasis AWS”. Mereka dienkripsi sisi server, di belakang nama pengguna dan kata sandi, secara otomatis menghapus, dan mematuhi standar perpesanan Apple dan Google, serta standar Regulasi Perlindungan Data Umum (GDPR).

Eufy mengakui bahwa saat pengguna memilih antara notifikasi berbasis teks atau thumbnail dari sistem mereka selama penyiapan, “tidak dijelaskan bahwa memilih notifikasi berbasis thumbnail akan memerlukan gambar pratinjau untuk dihosting sebentar di cloud.”

Eufy berjanji untuk memperbarui bahasa penyiapannya dan “menjadi lebih jelas tentang penggunaan cloud untuk pemberitahuan push dalam materi pemasaran kami yang berhubungan dengan konsumen.” Klaim lain yang dibuat oleh Moore dan SEC Consult tidak ditanggapi.

 

 

 

 

 

Milano – UKDW 2018

Be the first to comment

Leave a Reply

Your email address will not be published. Required fields are marked *