Популярные камеры видеонаблюдения Eufy от Anker, похоже, отправляют некоторые данные в облако, даже если облачное хранилище отключено, а включены только локальные настройки хранения. Информация получена от консультанта по безопасности Пола Мура, который на прошлой неделе опубликовал видео с описанием проблемы.

По словам Мура, он приобрел видеодомофон Eufy Doorbell Dual, который должен был хранить видеозаписи на устройстве. Он обнаружил, что Eufy загружает миниатюры изображений лиц и информацию о пользователе на свой облачный сервис, даже когда облачная функция отключена.

Мур демонстрирует несанкционированную облачную загрузку, позволяя камере фиксировать его изображение и отключая Eufy HomeBase. Веб-сайт по-прежнему может получить доступ к контенту через облачную интеграцию, хотя он не подписывался на облачный сервис, и он остается доступным даже после удаления записей из приложения Eufy. Важно отметить, что Eufy, похоже, не загружает полномасштабное потоковое видео в облако автоматически, а скорее делает снимки видео в виде миниатюр.

Миниатюры используются в приложении Eufy для активации потокового видео с базовой станции Eufy, позволяя пользователям Eufy просматривать свои видео вдали от дома, а также для отправки расширенных уведомлений. Проблема заключается в том, что миниатюры загружаются в облако автоматически, даже когда облачная функция неактивна, и Eufy также, похоже, использует распознавание лиц на этих загрузках. Некоторые пользователи выразили недовольство несанкционированными облачными загрузками, поскольку Eufy рекламирует сервис только для локального хранения и популярен среди тех, кто хочет более приватное решение для камер. «Никаких облаков или затрат», — гласит веб-сайт Eufy.

Мур предполагает, что Eufy также может связывать данные распознавания лиц, собранные с двух отдельных камер и двух отдельных приложений, с пользователями, причем все это без ведома владельцев камер.

Другие пользователи Eufy отреагировали на твит Мура и обнаружили то же самое, и существует также специальная ветка на Reddit по этому вопросу. Мур протестировал камеру домофона Eufy, но похоже, что так же работают и другие камеры Eufy. Как демонстрирует Мур, изображения доступны по простым URL-адресам после входа в систему, что представляет собой потенциальный риск безопасности для тех, кто обеспокоен этим. Eufy удалил фоновый вызов, раскрывающий сохраненные изображения, после твита Мура, но не удалил сами записи.

Мур получил ответ от Eufy, в котором компания подтвердила, что загружает списки событий и миниатюры в AWS, но заявила, что данные не могут «утечь к общественности», поскольку URL-адрес ограничен, имеет временное ограничение и требует входа в учетную запись.

Есть и другая проблема, на которую указал Мур: он предполагает, что прямые трансляции с камер Eufy можно смотреть вживую с помощью таких приложений, как VLC, но на данный момент доступно мало информации об этой уязвимости. Мур заявил, что к незашифрованному контенту камер Eufy можно получить доступ без аутентификации, что вызывает тревогу у пользователей Eufy.

Мы связались с Anker для получения дополнительных комментариев по вопросу Eufy и обновим эту статью, если получим ответ. Мур заявил, что он находится в контакте с юридическим отделом Eufy и даст им время для «расследования и принятия соответствующих мер», прежде чем давать дальнейшие комментарии.

Обновление: Anker предоставил заявление для MacRumors, объясняющее, почему изображения собираются и как эта проблема будет решаться в будущем.

eufy Security разработана как локальная система домашней безопасности. Все видеозаписи хранятся локально и зашифрованы на устройстве пользователя. Что касается технологии распознавания лиц eufy Security, то вся она обрабатывается и хранится локально на устройстве пользователя.

Наши продукты, услуги и процессы полностью соответствуют стандартам Общего регламента по защите данных (GDPR), включая сертификаты ISO 27701/27001 и ETSI 303645.

Для предоставления пользователям push-уведомлений на их мобильные устройства некоторые из наших решений безопасности создают небольшие предварительные изображения (миниатюры) видео, которые кратко и безопасно размещаются на облачном сервере на базе AWS. Эти миниатюры используют шифрование на стороне сервера, настроены на автоматическое удаление и соответствуют стандартам Apple Push Notification service и Firebase Cloud Messaging. Пользователи могут получить доступ или поделиться этими миниатюрами только после безопасного входа в свою учетную запись eufy Security.

Хотя наше приложение eufy Security позволяет пользователям выбирать между текстовыми или миниатюрными push-уведомлениями, не было четко указано, что выбор миниатюрных уведомлений потребует временного размещения предварительных изображений в облаке.

Отсутствие этой информации было нашей недоработкой, и мы искренне извиняемся за нашу ошибку. Вот как мы планируем улучшить наше информирование по этому вопросу:

1) Мы пересматриваем формулировки в параметрах push-уведомлений в приложении eufy Security, чтобы четко указать, что push-уведомления с миниатюрами требуют предварительных изображений, которые будут временно храниться в облаке.

2) Мы будем более четко информировать об использовании облака для push-уведомлений в наших маркетинговых материалах, ориентированных на потребителей.

eufy Security стремится к конфиденциальности и защите данных своих пользователей и ценит участие сообщества исследователей безопасности, которое обратило наше внимание на эту проблему.