Les caméras de sécurité de la marque Eufy semblent envoyer des données à leur serveur cloud basé sur Amazon (AWS) même si le stockage dans le cloud est désactivé et que seuls les paramètres de stockage locaux sont activés. Ce a le chercheur en sécurité Paul Moore récemment découvert et présenté dans plusieurs tweets.
Pour montrer le problème, il en a un Eufy Doorbell double caméra utilisé. Entre autres choses, Eufy téléchargerait des images miniatures de visages sur son service cloud. Ces données y sont stockées avec le nom d’utilisateur et d’autres informations identifiables.
clé facile à casser
Le site Web du fabricant peut accéder au contenu via l’intégration cloud même si vous n’êtes pas inscrit au service cloud. Selon Moore, ces données seraient également stockées sur le serveur même après que les enregistrements aient déjà été supprimés de l’application Eufy. De plus, en saisissant l’URL correcte, les vidéos peuvent être diffusées via un navigateur Web. Les données d’authentification ne sont pas nécessaires pour cela.
Les vidéos qui commencent par un soi-disant Cryptage AES-128 sont cryptés ne sont, selon lui, cryptés qu’avec une simple clé et non avec une séquence de caractères aléatoires adéquate. Par exemple, les enregistrements de Moore ont été sauvegardés avec la clé « ZXSecurity17Cam@ ». Mais cela peut être fissuré très facilement.
Reconnaissance faciale pour les téléchargements
Eufy ne semble pas télécharger automatiquement les vidéos en streaming complètes, mais télécharge à la place des images miniatures de la vidéo. Ces vignettes sont utilisées dans l’application Eufy pour permettre la diffusion de vidéos à partir de la station de base Eufy, permettant aux utilisateurs de les regarder en déplacement. Eufy semble également utiliser la reconnaissance faciale pour les téléchargements.
Eufy a confirmé les conclusions du chercheur, mais a déclaré que les données ne pouvaient pas être rendues publiques car l’URL est restreinte et limitée dans le temps. Un enregistrement de compte est également nécessaire. Selon Moore, certains des problèmes ont déjà été corrigés. Entre autres choses, Eufy a supprimé l’appel réseau.