Kamery Eufy nahrávají obsah do cloudu bez vědomí vlastníků

AppleInsider může získat přidruženou provizi za nákupy uskutečněné prostřednictvím odkazů na našich stránkách.

Bezpečnostní konzultant Paul Moore zjistil, že jeho Eufy Doorbell Dual nahrávala data do cloudu, přestože cloudové funkce zakázal. Moore nahrál na YouTube krátké video, aby zdůraznil, co našel.

Ve videu Moore ukazuje, jak i po vypnutí Eufy HomeBase může web Eufy stále přistupovat k obrázku, který nahrál, přestože se nepřihlásil ke cloudové službě. Navíc je obrázek stále přístupný i poté, co jej Moore odstraní z aplikace Eufy.

Zajímavé je, že se nezdá, že Eufy nahrává video tak jako video, ale spíše jako série náhledů.

Zdá se, že Eufy také při nahrávání používá rozpoznávání obličeje. Moore se domnívá, že Eufy by mohla propojit data rozpoznávání obličejů shromážděná z různých kamer a aplikací s uživateli – bez vědomí nebo souhlasu uživatele.

Po zveřejnění kontaktoval Eufy Moore, aby potvrdil, že nahrává události a miniatury do Amazon Web Services. Společnost však tvrdí, že data nemohou uniknout, protože adresa URL je k dispozici pouze po krátkou dobu a vyžaduje přihlášení k účtu.

Posledním problémem Moore je, že streamy z kamery Eufy lze sledovat živě pomocí aplikace, jako je VLC, i když neposkytl informace o tom, jak je to možné. Navíc, což je dost znepokojivé, Moore poznamenává, že streamy nejsou šifrované a lze k nim přistupovat bez ověření.

Od svého prvního příspěvku Moore zveřejnil, že „vedl dlouhou diskusi s právním oddělením Eufy“. Uvedl také, že by bylo „v této fázi vhodné dát jim čas na prošetření a přijetí vhodných opatření“, a že se nemůže dále vyjadřovat.

Není to poprvé, co se Eufy dostal pod palbu kvůli bezpečnostním nedostatkům. Nejpozoruhodnější je, že v květnu 2021 uživatelé kamer Eufy zjistili, že kamery vlastněné jinými uživateli byly viditelné v jejich aplikaci namísto toho, co očekávali, že uvidí ze svých vlastních kamer, a že ti, kterým byl udělen falešný přístup, mohli změnit nastavení.