HomeAndroidPeneliti menemukan kelemahan keamanan yang serius di kamera Eufy

Peneliti menemukan kelemahan keamanan yang serius di kamera Eufy

Facebook
Twitter
Pinterest
WhatsApp

[ad_1]

Tahun lalu, “bug perangkat lunak” di Eufy milik Anker menyebabkan keriuhan ketika banyak pemilik kamera keamanan yang terhubung dengan perusahaan dapat mengakses umpan langsung dan menyimpan rekaman video dari kamera bermerek Eufy milik orang lain. Sekarang, Eufy berada di air panas yang sama lagi. Peneliti keamanan Paul Moore baru-baru ini menemukan beberapa kelemahan keamanan yang serius di perangkat Eufy — termasuk yang memungkinkan orang mengakses umpan video langsung yang tidak terenkripsi dari kamera Eufy tanpa autentikasi apa pun.

VIDEO ANDROIDPOLICE HARI INI

Minggu lalu, Moore menemukan bahwa Eufy Doorbell Dual-nya – yang dia sebutkan dibeli berdasarkan pemasaran yang berfokus pada privasi Eufy – mengunggah thumbnail video dan data pengenalan wajah ke cloud, meskipun dia tidak pernah memilih layanan cloud Eufy. Moore mendemonstrasikan bahwa kedua gambar yang diambil oleh kameranya dan foto profil Eufy miliknya dapat diunduh tanpa autentikasi dengan menavigasi ke URL terkait — tetapi Eufy mengatakan bahwa gambar tersebut dienkripsi, dan tampaknya Moore hanya dapat mengaksesnya karena sebelumnya dia telah login ke akun Eufy-nya di jendela Chrome Incognito yang sama.

Moore juga menemukan bahwa kamera Eufy terpisah yang ditautkan ke akun berbeda dapat mengidentifikasi wajahnya dengan ID unik yang sama — menyiratkan bahwa Eufy tidak hanya menyimpan data pengenalan wajah di cloud, tetapi juga berbagi informasi back-end antar akun.

Yang terburuk, Moore mengatakan dia dapat melihat rekaman langsung dari kameranya melalui browser web tanpa otentikasi apa pun hanya dengan menavigasi ke alamat publik yang benar. Maklum, Moore tidak menawarkan bukti eksploit khusus ini, tetapi mengatakan dia telah menghubungi Eufy tentang hal itu.

See also  Bagaimana TinyWow membuat penggabungan file PDF menjadi mudah

Menurut Moore, Eufy mengatakan gambar disimpan di server Amazon Web Services (AWS) hanya sampai pengguna menutup pemberitahuan peristiwa di aplikasi keamanan Eufy, setelah itu gambar dihapus. Di video YouTube terpisahMoore menunjukkan bahwa gambar disimpan untuk beberapa waktu setelah pemberitahuan ditutup, meskipun dia tidak dapat membuktikan berapa lama.

Sejak itu Eufy mengklarifikasi bahwa thumbnail hanya diunggah ke AWS jika notifikasi acara pengguna diatur untuk menyertakan thumbnail (secara default, notifikasi hanya berupa teks). Perusahaan memberi tahu Pusat Android bahwa diperlukan langkah-langkah untuk membuatnya lebih jelas — atau, memang, sama sekali jelas — bahwa menyertakan thumbnail dalam pemberitahuan peristiwa akan menyebabkan thumbnail tersebut disimpan di AWS untuk sementara waktu, bahkan jika pengguna belum memilih ke layanan cloud. Eufy lebih lanjut mengatakan bahwa praktiknya sesuai dengan standar GDPR, serta “layanan Apple Push Notification dan standar Firebase Cloud Messaging.”

Per Android Central, Moore mengatakan Eufy bergerak cepat pada masalah yang dia angkat dan bahwa metode yang sebelumnya dia gunakan untuk mengakses datanya dengan cara yang tidak ortodoks tidak lagi berfungsi. Semua sama, ini adalah snafu keamanan utama kedua untuk Eufy dalam kurun waktu dua tahun – bukan tampilan yang bagus untuk perusahaan yang secara terbuka bangga melindungi privasi pengguna.

[ad_2]

Facebook
Twitter
Pinterest
WhatsApp
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Most Popular

Recent Comments