I filmati della telecamera di sicurezza Anker eufy possono essere visualizzati in un lettore multimediale senza crittografia
Un ingegnere della sicurezza che si identifica come Wasabi Burns su Twitter o come spicywasabi su infosec.exchange possiede apertamente eufy ma ha annunciato l'intenzione di "strapparle tutte" in seguito all'individuazione di vulnerabilità che consentono l'accesso ai filmati tramite un'applicazione di riproduzione video comunemente disponibile.
Il sub-brand di Anker di Anker, sempre più popolare, sostiene che il metodo in questione non dovrebbe essere possibile, in quanto i dati audiovisivi delle telecamere sono memorizzati localmente e con una robusta crittografia. Tuttavia, Wasabi Burns ha appoggiato un altro ricercatore, Paul Mooreche sostiene che questo non è il caso.
Entrambi gli account Twitter affermano che VLC Media Player - scaricabile gratuitamente - può essere utilizzato per avviare un flusso "senza crittografia" da un file attivo di eufy attiva, semplicemente collegandosi a un indirizzo di server cloud presumibilmente "unico".
Scrivendo per The Verge, Sean Hollister sostiene di aver replicato https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storagequesta tecnica in modo da consentire la connessione con una telecamera situata dalla parte opposta degli Stati Uniti
L'accesso all'indirizzo in questione richiedeva un log-in protetto da password e la telecamera in questione veniva svegliata tuttavia, Hollister sostiene che non si tratta di avvertenze rassicuranti.
Poiché "consiste in gran parte nel numero di serie codificato in Base64" e in un timbro temporale Unix facilmente costruibile, l'indirizzo necessario per molte altre videocamere potrebbe essere effettivamente decodificato presso il locale Best Buy https://www.bestbuy.com/site/eufy-security-eufycam-2-pro-3-camera-indoor-outdoor-wireless-2k-16gb-home-security-system-white/6476315.p?skuId=6476315.
Inoltre, The Verge afferma ora che un Anker ha negato apertamente che sia possibile avviare tali flussi in VLC quando è stato contattato per un commento
D'altra parte, Hollister ha pubblicato un aggiornamento in cui si fa notare che ora è meno facile mettere in atto il metodo, il che potrebbe indicare che eufy sta affrontando la vulnerabilità in questione.
Ciononostante, Moore continua a insistere sul fatto che questa è solo la punta dell'iceberg degli incidenti di sicurezza di eufy https://sec-consult.com/blog/detail/the-eufycam-long-term-observation/sostenendo, ad esempio, di aver scoperto la chiave di crittografia di https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storage di aver scoperto la sua chiave di crittografia, perché è troppo elementare
Sebbene eufy abbia rilasciato una risposta a queste affermazioni, Moore ritiene che si tratti di una risposta a queste affermazioni, Moore ritiene che abbia "completamente e totalmente mancato il punto" e avrebbe espresso l'intenzione di intraprendere un'azione legale contro Anker.
Fortunatamente, ci sono altre opzioni quando si considera un sistema di sicurezza domestica, PoE incluso.
Fonte(i)
