Eufy de Anker nos mintió sobre la seguridad de sus cámaras de seguridad


Anker ha construido una notable reputación de calidad durante la última década, convertir su negocio de cargadores de teléfonos en un imperio que abarca todo tipo de dispositivos electrónicos portátiles, incluidas las cámaras de seguridad para el hogar Eufy que hemos recomendado a lo largo de los años. de Eufy compromiso con la privacidad es notable: promete que sus datos se almacenarán localmente, que «nunca abandonará la seguridad de su hogar», que sus imágenes solo se transmiten con encriptación de grado militar «extremo a extremo» y que solo enviará eso material de archivo «directo a su teléfono».

Entonces puede imaginar nuestra sorpresa al saber que puede transmitir video desde una cámara Eufy, desde el otro lado del país, sin ningún tipo de cifrado.

“Todas las imágenes grabadas se cifran en el dispositivo y se envían directamente a su teléfono, y solo usted tiene la clave para descifrar y ver las imágenes”.

Parte del «compromiso de privacidad» de Eufy de Anker.
Captura de pantalla de Sean Hollister / The Verge

Peor aún, aún no está claro qué tan generalizado podría ser esto, porque en lugar de abordarlo de frente, la compañía afirmó falsamente que el borde que ni siquiera era posible.

En el Día de Acción de Gracias, el consultor de seguridad de la información Paul Moore y un hacker que se hace llamar Wasabi ambos presuntos que las cámaras Eufy de Anker pueden transmitir sin cifrado a través de la nube, simplemente conectándose a una dirección única en los servidores en la nube de Eufy con el VLC Media Player gratuito.

Cuando le pedimos a Anker que lo confirmara o lo negara, la compañía lo negó categóricamente. “Puedo confirmar que no es posible iniciar una transmisión y ver imágenes en vivo usando un reproductor de terceros como VLC”, me dijo por correo electrónico Brett White, gerente senior de relaciones públicas de Anker.

Pero el borde Ahora puedo confirmar que eso no es cierto. Esta semana, vimos repetidamente imágenes en vivo de dos de nuestras propias cámaras Eufy usando ese mismo reproductor multimedia VLC, de todo Estados Unidos, lo que demuestra que Anker tiene una forma de evitar el cifrado y acceder a estas cámaras supuestamente seguras a través de la nube.

Hay algunas buenas noticias: aún no hay pruebas de que esto haya sido explotado en la naturaleza, y la forma en que inicialmente obtuvimos la dirección requería iniciar sesión con un nombre de usuario y contraseña antes de que el sitio web de Eufy tosiera la transmisión sin encriptación. (No estamos compartiendo la técnica exacta aquí).

Además, parece que solo funciona en cámaras que están despiertas. Tuvimos que esperar hasta que nuestra cámara reflectora detectara un automóvil que pasaba, o su propietario presionara un botón, antes de que la transmisión de VLC cobrara vida.

El número de serie de 16 dígitos de su cámara, probablemente visible en la caja, es la parte más grande de la clave

Pero también empeora: las mejores prácticas de Eufy parecen ser tan malas que los malos actores podrían averiguar la dirección de la transmisión de una cámara, porque esa dirección consiste en gran medida en el número de serie de tu cámara codificado en Base64, algo que puede revertir fácilmente con una simple calculadora en línea.

La dirección también incluye una marca de tiempo de Unix que puede crear fácilmente, un token que los servidores de Eufy en realidad no parecen estar validando (cambiamos nuestro token a «arbitrarypotato» y aún funcionó), y un hex aleatorio de cuatro dígitos cuyas 65,536 combinaciones podría ser fácilmente forzado por la fuerza bruta.

«Definitivamente no es así como debería diseñarse», el ingeniero de vulnerabilidad de Mandiant, Jacob Thompson. dice El borde. Por un lado, los números de serie no cambian, por lo que un mal actor podría dar, vender o donar una cámara a Goodwill y seguir viendo las transmisiones en silencio. Pero también, señala que las empresas no suelen mantener en secreto sus números de serie. Algunos los pegan directamente en la caja que venden en Best Buy, sí, incluido Eufy.

En el lado positivo, los números de serie de Eufy tienen 16 caracteres y no son solo un número creciente. “No podrá simplemente adivinar las identificaciones y comenzar a presionarlas”, dice Dillon Franke, consultor de Mandiant Red Team, y lo llama una posible “gracia salvadora” de esta divulgación. «No suena tan mal como si fuera el ID de usuario 1000, entonces prueba con 1001, 1002, 1003».

Podría ser peor. Cuando el investigador de seguridad de Georgia Tech y Ph.D. El candidato Omar Alrawi estaba estudiando malas prácticas de hogares inteligentes en 2018, vio que algunos dispositivos los sustituían. su propia dirección MAC por seguridad, a pesar de que una dirección MAC tiene solo doce caracteres, y generalmente puede descifrar los primeros seis caracteres simplemente sabiendo qué compañía fabricó un dispositivo, explica.

“El número de serie ahora se vuelve fundamental para mantenerlo en secreto”.

Pero tampoco sabemos de qué otra forma podrían filtrarse estos números de serie, o si Eufy podría proporcionarlos sin darse cuenta a cualquiera que los solicite. “A veces, hay API que devolverán parte de esa información de identificación única”, dice Franke. “El número de serie ahora se vuelve fundamental para mantenerlo en secreto, y no creo que lo traten de esa manera”.

Thompson también se pregunta si existen otros posibles vectores de ataque ahora que sabemos que las cámaras de Eufy no están completamente encriptadas: «Si la arquitectura es tal que pueden ordenar que la cámara comience a transmitir en cualquier momento, cualquier persona con acceso de administrador tiene la capacidad de acceder». la infraestructura de TI y mira tu cámara”, advierte. Eso está muy lejos de la afirmación de Anker de que las imágenes «se envían directamente a su teléfono, y solo usted tiene la clave».

Por cierto, hay otras señales preocupantes de que las prácticas de seguridad de Anker pueden ser mucho, mucho más pobres de lo que parece. Toda esta saga comenzó cuando el consultor de seguridad informática Moore empezó a tuitear acusaciones que Eufy había violado otras promesas de seguridad, incluida la carga de imágenes en miniatura (incluidos rostros) en la nube sin permiso y no eliminar los datos privados almacenados. Según los informes, Anker admitió lo primero, pero lo llamó un malentendido.

Lo más preocupante si es cierto, el tambien reclama que la clave de cifrado de Eufy para sus secuencias de video es, literalmente, solo la cadena de texto sin formato «ZXSecurity17Cam@». Esa frase también aparece en un repositorio de GitHub de 2019también.

Anker no respondió el bordeLa sencilla pregunta de sí o no sobre si “ZXSecurity17Cam@” es la clave de cifrado.

Tampoco pudimos obtener más detalles de Moore; el dijo el borde no puede comentar mas ahora que ha iniciado un proceso judicial contra Anker.

Ahora que Anker ha sido atrapada en algunas grandes mentiras, va a ser difícil confiar en lo que diga la compañía a continuación, pero para algunos, puede ser importante saber qué cámaras se comportan y no de esta manera, si se cambiará algo, y cuando. Cuando Wyze tuvo una vulnerabilidad vagamente similar, la barrió debajo de la alfombra durante tres años.; con suerte, Anker lo hará mucho, mucho mejor.

Algunos pueden no estar dispuestos a esperar o confiar más. “Si me encontrara con esta noticia y tuviera esta cámara dentro de mi casa, la apagaría de inmediato y no la usaría, porque no sé quién puede verla y quién no”, me dice Alrawi.

Wasabi, el ingeniero de seguridad que nos mostró cómo obtener la dirección de red de una cámara Eufy, dice que está extrayéndola por completo. “¡Compré esto porque estaba tratando de ser consciente de la seguridad!” exclama.

Con algunas cámaras Eufy específicastal vez podría intentar cambiarlos para usar HomeKit Secure Video de Apple en su lugar.

Con informes y pruebas de Jen Tuohy y Nathan Edwards





Fuente: The Verge

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad