L’une des marques les plus performantes du dernier Black Friday était Anker, le fabricant d’accessoires mobiles devenu un géant technologique grâce à ses ventes sur Amazon.
[Batería infinita y placas solares: así son las nuevas cámaras de seguridad de Anker]
En fait, Anker est déjà si grand que son répertoire va bien au-delà des chargeurs ou des câbles ; par exemple, il a d’autres marques comme Eufy, dédiées à la sécurité domestique avec des caméras et des capteurs intelligents.
Accès des étrangers aux caméras à la maison
Quelques jours seulement après les plus grosses ventes de l’année, tous ces nouveaux clients peuvent se retrouver avec un sérieux problème de confidentialité dans leur propre maison. Expert en cybersécurité Paul Moore confirmé il y a quelques jours une vulnérabilité qui a permis accéder à la vidéo des caméras depuis Internetsans avoir besoin d’entrer notre mot de passe ou tout type de contrôle.
Le problème était avec les serveurs Eufy, auxquels les caméras se connectent, qui acceptaient la connexion via un lecteur multimédia tel que VLC, qui permet de diffuser du contenu. Trouver une caméra à refléter n’était pas difficile non plus, étant donné que l’adresse d’accès était basée sur le code de série de la caméra. Par conséquent, un attaquant pourrait accéder à ce que n’importe quelle caméra eufy enregistretemps réel.
Donc, essayer de gagner en visibilité, en tant que propriétaire d’un produit Eufy, c’est incroyablement décevant, mais apparemment, vous pouvez lire des flux de caméra via VLC pic.twitter.com/cCYF7KgKvi
— Wasabi Burns spicywasabi@infosec.exchange (@spiceywasabi) 25 novembre 2022
C’est déjà mauvais en soi, mais c’est d’autant plus inquiétant que justement l’une des promesses d’eufy est qu’il ne stocke pas nos données privé, et que toute sa technologie repose sur du stockage local et non sur des serveurs externes, en théorie grâce à son “Intelligence Artificielle super intelligente” intégrée à tous ses appareils. Pour boucler la boucle, Eufy promet que les vidéos sont cryptées de bout en bout, afin que seul notre mobile puisse les afficher ; et pourtant, le chercheur a pu se connecter aux caméras sans aucun type de mot de passe.
En plus de la vidéo qu’ils enregistrent, il s’avère que les caméras envoient également des informations aux serveurs, y compris le reconnaissance faciale des personnes que la caméra détecte dans les images. Ce serait non seulement en contradiction avec ce qu’il annonce, mais cela pourrait également violer le règlement européen sur la protection des données.
La réponse d’Eufy
Peut-être plus inquiétant que ces problèmes de sécurité a été la réaction d’Eufy à son poste. Pour commencer, le chercheur Paul Moore n’a pas été en mesure de s’exprimer davantage sur la question après “une longue discussion avec l’équipe juridique” d’Eufy ; et lorsque les médias spécialisés ont couvert l’actualité, la première réponse de l’entreprise a été nier le plus grandcritiquant la méthodologie du chercheur en réponse à Android centreilet déclarant directement qu ‘«il n’est pas possible de visualiser la vidéo en direct d’une caméra à l’aide de VLC».
Au lieu de cela, la société a admis que les caméras envoient des données aux serveurs, mais explique que cela est dû à une fonction qui affiche les images de la caméra dans les notifications de l’application mobile. Pour y parvenir, il faut que la caméra envoie des informations au serveur pour qu’il les transmette à notre mobile, ce qui n’était peut-être pas tout à fait clair avec les promesses de stockage local ; C’est pourquoi Eufy prétend qu’il va changer la langue des options, mais c’est le seul changement qu’il a officiellement promis.
Pendant ce temps, des médias comme Le bord Oui Ars Technica ils ont réussi à accéder aux caméras à l’aide de VLC, avec leurs propres enquêtes distinctes, ce qui nous indique qu’Eufy n’a pas initialement pris au sérieux la révélation de l’enquêteur Moore.
Quelques jours plus tard, tout indique qu’Eufy a finalement changé d’avis, et l’accès aux caméras est bloqué par le serveur, bien qu’il puisse s’agir d’une mesure temporaire avant de modifier plus profondément le fonctionnement du serveur.
Enfin, la société a publié aujourd’hui une deuxième déclaration, dans laquelle elle montre une fois de plus son “profond désaccord” avec ce qu’elle appelle des “accusations” sur la sécurité de ses produits ; mais au moins, il accepte que “les événements récents aient pu inquiéter certains utilisateurs”.