A Anker construiu uma reputação notável de qualidade na última década, transformando seu negócio de carregadores de telefone em um império que abrange todos os tipos de eletrônicos portáteis – incluindo as câmeras de segurança doméstica Eufy que recomendamos ao longo dos anos. O compromisso da Eufy com a privacidade é notável: ele promete que seus dados serão armazenados localmente, que “nunca sai da segurança de sua casa”, que suas imagens são transmitidas apenas com criptografia de nível militar “ponta a ponta” e que enviará apenas essa filmagem “diretamente para o seu telefone”.
Então você pode imaginar nossa surpresa ao saber que você pode transmitir vídeo de uma câmera Eufy, do outro lado do país, sem nenhuma criptografia.
:format(webp)/cdn.vox-cdn.com/uploads/chorus_asset/file/24245871/chrome_GwYzzn6O0M.png)
Pior, ainda não está claro o quão difundido isso pode ser – porque, em vez de abordá-lo de frente, a empresa alegou falsamente The Verge que isso nem era possível.
No Dia de Ação de Graças, o consultor de infosec Paul Moore e um hacker conhecido como Wasabi ambos alegaram que as câmeras Eufy da Anker podem transmitir sem criptografia através da nuvem – apenas conectando-se a um endereço exclusivo nos servidores da nuvem da Eufy com o VLC Media Player gratuito.
Quando pedimos a Anker à queima-roupa para confirmar ou negar isso, a empresa negou categoricamente. “Posso confirmar que não é possível iniciar uma transmissão e assistir a imagens ao vivo usando um reprodutor de terceiros, como o VLC”, Brett White, gerente sênior de relações públicas da Anker, me disse por e-mail.
Mas The Verge agora pode confirmar que isso não é verdade. Esta semana, assistimos repetidamente a imagens ao vivo de duas de nossas próprias câmeras Eufy usando o mesmo reprodutor de mídia VLC, de todos os Estados Unidos – provando que Anker tem uma maneira de contornar a criptografia e acessar essas câmeras supostamente seguras por meio da nuvem.
Há boas notícias: ainda não há provas de que isso tenha sido explorado na natureza, e a maneira como inicialmente obtivemos o endereço exigia login com um nome de usuário e senha antes que o site da Eufy liberasse o fluxo sem criptografia. (Não estamos compartilhando a técnica exata aqui.)
Além disso, parece que só funciona em câmeras que estão acordadas. Tivemos que esperar até que nossa câmera holofote detectasse um carro passando, ou seu dono apertasse um botão, antes que o fluxo do VLC ganhasse vida.
O número de série de 16 dígitos da sua câmera – provavelmente visível na caixa – é a maior parte da chave
Mas também fica pior: as melhores práticas de Eufy parecem ser tão ruins que os malfeitores podem descobrir o endereço do feed de uma câmera – porque esse endereço consiste em grande parte em número de série da sua câmera codificado em Base64, algo que você pode reverter facilmente com uma simples calculadora online.
O endereço também inclui um timestamp Unix que você pode criar facilmente, um token que os servidores da Eufy não parecem estar validando (mudamos nosso token para “arbitrarypotato” e ainda funcionou) e um hex aleatório de quatro dígitos cujas 65.536 combinações poderia facilmente ser forçada bruta.
“Definitivamente, não é assim que deve ser projetado”, o engenheiro de vulnerabilidades da Mandiant, Jacob Thompson diz A beira. Por um lado, os números de série não mudam, então um mau ator pode dar, vender ou doar uma câmera para o Goodwill e continuar silenciosamente assistindo aos feeds. Mas também ressalta que as empresas não costumam manter seus números de série em segredo. Alguns os colocam diretamente na caixa que vendem na Best Buy – sim, incluindo Eufy.
No lado positivo, os números de série de Eufy têm 16 caracteres e não são apenas um número crescente. “Você não será capaz de apenas adivinhar os IDs e começar a atingi-los”, diz Dillon Franke, consultor da Mandiant Red Team, chamando isso de uma possível “graça salvadora” dessa divulgação. “Não parece tão ruim quanto se fosse UserID 1000, então você tenta 1001, 1002, 1003.”
Poderia ser pior. Quando o pesquisador de segurança da Georgia Tech e Ph.D. candidato Omar Alrawi estava estudando práticas domésticas inteligentes pobres em 2018, ele viu alguns dispositivos substituindo seu próprio endereço MAC para segurança – embora um endereço MAC tenha apenas doze caracteres e você geralmente possa descobrir os primeiros seis caracteres apenas sabendo qual empresa fez um gadget, explica ele.
“O número de série agora se torna crítico para manter em segredo.”
Mas também não sabemos de que outra forma esses números de série podem vazar, ou se Eufy pode mesmo fornecê-los involuntariamente a qualquer um que pergunte. “Às vezes, há APIs que retornam algumas dessas informações de ID exclusivas”, diz Franke. “O número de série agora se torna crítico para manter em segredo, e não acho que eles tratem dessa forma.”
Thompson também se pergunta se existem outros vetores de ataque em potencial agora que sabemos que as câmeras de Eufy não são totalmente criptografadas: “Se a arquitetura é tal que eles podem ordenar que a câmera comece a transmitir a qualquer momento, qualquer pessoa com acesso de administrador pode acessar a infraestrutura de TI e fique de olho na câmera”, alerta. Isso está muito longe da afirmação de Anker de que a filmagem é “enviada diretamente para o seu telefone – e só você tem a chave”.
A propósito, há outros sinais preocupantes de que as práticas de segurança de Anker podem ser muito, muito piores do que deixaram transparecer. Toda essa saga começou quando o consultor de infosec Moore começou a twittar acusações que Eufy violou outras promessas de segurança, incluindo upload de imagens em miniatura (incluindo rostos) para a nuvem sem permissão e falha ao excluir dados privados armazenados. Anker supostamente admitiu o primeiro, mas chamou isso de mal-entendido.
Mais preocupante se for verdade, ele também afirma que a chave de criptografia de Eufy para seu vídeo é literalmente apenas a string de texto simples “ZXSecurity17Cam@”. Essa frase também aparece em um repositório do GitHub de 2019.
Anker não respondeu The VergeA pergunta direta de sim ou não sobre se “ZXSecurity17Cam@” é a chave de criptografia.
Também não conseguimos obter mais detalhes de Moore; ele disse The Verge ele não pode comentar mais agora que ele iniciou um processo legal contra Anker.
Agora que Anker foi pego em algumas grandes mentiras, será difícil confiar no que a empresa disser a seguir – mas para alguns, pode ser importante saber quais câmeras se comportam e quais não se comportam dessa maneira, se algo será alterado, e quando. Quando Wyze teve uma vulnerabilidade vagamente semelhante, varreu-a para debaixo do tapete por três anos; espero que Anker se saia muito, muito melhor.
Alguns podem não estar dispostos a esperar ou confiar mais. “Se eu me deparasse com essa notícia e tivesse essa câmera dentro de casa, eu desligaria imediatamente e não a usaria, porque não sei quem pode ver e quem não pode”, me diz Alrawi.
Wasabi, o engenheiro de segurança que nos mostrou como obter o endereço de rede de uma câmera Eufy, diz que está destruindo tudo. “Eu comprei isso porque estava tentando ser consciente da segurança!” ele exclama.
Com algumas câmeras Eufy específicas, talvez você possa tentar trocá-las para usar o HomeKit Secure Video da Apple.
Com relatórios e testes de Jen Tuohy e Nathan Edwards
0 comentários:
Postar um comentário