Notebookcheck Logo

Anker eufy beveiligingscamera beelden kunnen naar verluidt worden bekeken in een mediaspeler zonder encryptie

Een frame naar verluidt gepakt van gestreamde eufy camerabeelden. (Bron: Wasabi Burns via Twitter)
Een frame naar verluidt gepakt van gestreamde eufy camerabeelden. (Bron: Wasabi Burns via Twitter)
Anker's thuisbeveiligingsmerk eufy heeft zijn naam gebouwd op beweringen dat beelden die zijn opgenomen met zijn camera's veilig worden opgeslagen en alleen op het apparaat van een gebruiker aankomen via "end-to-end encryptie van militaire kwaliteit". The Verge beweert nu echter te kunnen bewijzen dat sommige van deze beweringen technisch onjuist zijn, door enkele bevindingen aan te halen die door onderzoekers op Twitter zijn geplaatst.
Accessory Leaks / Rumors Security Software Smart Home

Een beveiligingsingenieur die zich identificeert als Wasabi Burns op Twitter of als spicywasabi bij infosec.exchange is openlijk eigenaar van eufy thuisbeveiligingscamera's - maar heeft aangekondigd dat hij van plan is "ze er allemaal uit te trekken" na de ontdekking van kwetsbaarheden die toegang geven tot hun beelden met behulp van een algemeen verkrijgbare app voor het afspelen van video's.

Anker's steeds populairder wordende submerk beweert dat de betreffende methode niet mogelijk zou moeten zijn, omdat de audiovisuele gegevens van de camera's lokaal en met robuuste encryptie worden opgeslagen. Wasabi Burns steunt echter een andere onderzoeker, Paul Mooredie beweert dat dit niet het geval is.

Beide Twitter accounts beweren nu dat VLC Media Player - die gratis te downloaden is - kan worden gebruikt om een stream "encryptievrij" te starten vanaf een actieve eufy camera, gewoon door verbinding te maken met een zogenaamd "uniek" cloud server adres.

In The Verge beweert Sean Hollister dat hij deze techniek heeft nagemaakt.. deze techniek op een manier die een dergelijke verbinding met een camera aan de andere kant van de Verenigde Staten mogelijk maakte

Voor toegang tot het adres in kwestie was een met een wachtwoord beveiligde log-in nodig en de camera in kwestie werd gewekt door een derde partij ter plaatse; niettemin stelt Hollister dat dit geen geruststellend voorbehoud is.

Aangezien het "grotendeels bestaat uit uw serienummer gecodeerd in Base64" en een gemakkelijk te fabriceren Unix-tijdstempel, zou het benodigde adres voor veel andere camera's effectief kunnen worden omgekeerd bij de plaatselijke Best Buy.

Bovendien beweert The Verge nu ook dat een Anker vertegenwoordiger in feite ronduit ontkende dat het mogelijk was om dergelijke streams te starten in VLC toen er contact werd opgenomen voor commentaar

Dan weer, Hollister heeft sindsdien een update geplaatst waarin wordt opgemerkt dat het nu minder gemakkelijk is om de methode uit te voeren, wat erop kan wijzen dat eufy nu de kwetsbaarheid in kwestie aanpakt.

Niettemin blijft Moore volhouden dat dit slechts het topje van eufy's beveiligingsincident ijsberg isen beweert bijvoorbeeld dat hij zijn encryptie sleutel.. omdat het veel te simpel is

Terwijl eufy een antwoord heeft uitgegeven op deze beweringen, vindt Moore dat het "completely & utterly missed the point" en heeft naar verluidt de intentie uitgesproken om juridische stappen te ondernemen tegen Anker.

Gelukkig zijn er andere opties bij het overwegen van een huisbeveiligingssysteem, PoE opgenomen.

Bron(nen)

Wasabi Burns via The Verge

Please share our article, every link counts!
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2022 12 > Anker eufy beveiligingscamera beelden kunnen naar verluidt worden bekeken in een mediaspeler zonder encryptie
Deirdre O'Donnell, 2022-12- 4 (Update: 2022-12- 4)