Les images de la caméra de sécurité Anker eufy peuvent prétendument être visionnées dans un lecteur multimédia sans cryptage

Une image prétendument saisie à partir d'une séquence de caméra eufy diffusée en continu. (Source : Wasabi Burns via Twitter)

La marque de sécurité domestique d'Anker, eufy, a construit son nom sur des affirmations selon lesquelles les séquences enregistrées à l'aide de ses caméras sont stockées en toute sécurité et n'arrivent sur l'appareil de l'utilisateur que par un "cryptage de qualité militaire de bout en bout". Cependant, The Verge affirme aujourd'hui être en mesure de prouver que certaines de ces affirmations sont techniquement fausses, en citant des résultats publiés sur Twitter par des chercheurs.

Deirdre O'Donnell, Published 12/04/2022 🇺🇸 🇪🇸 ...

Un ingénieur en sécurité qui s'identifie comme Wasabi Burns sur Twitter ou comme spicywasabi at infosec.exchange possède ouvertement eufy mais il a annoncé son intention de "les arracher" après la détection de vulnérabilités permettant d'accéder à leurs images à l'aide d'une application de lecture vidéo courante.

La sous-marque d'Anker d'Anker, de plus en plus populaire, affirme que la méthode en question ne devrait pas être possible, car les données audiovisuelles des caméras sont stockées localement et font l'objet d'un cryptage robuste. Cependant, Wasabi Burns a apporté son soutien à un autre chercheur, Paul Moorequi affirme que ce n'est pas le cas.

Les deux comptes Twitter affirment maintenant que VLC Media Player - qui peut être téléchargé gratuitement - peut être utilisé pour lancer un flux "sans cryptage" à partir d'un fichier actif de l eufy active, simplement en se connectant à une adresse de serveur cloud supposée "unique".

Dans un article de The Verge, Sean Hollister affirme avoir reproduit https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storagecette technique de manière à permettre une telle connexion avec une caméra située de l'autre côté des États-Unis

L'accès à l'adresse en question a nécessité une connexion protégée par un mot de passe et que la caméra en question a été réveillée par un tiers sur place ; néanmoins, Hollister affirme que ces mises en garde ne sont pas rassurantes.

Étant donné qu'elle "se compose en grande partie de votre numéro de série encodé en Base64" ainsi que d'un horodatage Unix facile à fabriquer, l'adresse nécessaire pour de nombreuses autres caméras pourrait effectivement faire l'objet d'une rétro-ingénierie dans le Best Buy local https://www.bestbuy.com/site/eufy-security-eufycam-2-pro-3-camera-indoor-outdoor-wireless-2k-16gb-home-security-system-white/6476315.p?skuId=6476315.

De plus, The Verge affirme maintenant qu'un appareil photo de la marque Anker a nié catégoriquement qu'il était possible de lancer de tels flux dans VLC lorsqu'il a été contacté pour un commentaire

Par ailleurs, Hollister a depuis publié une mise à jour indiquant qu'il est désormais moins facile d'appliquer la méthode, ce qui pourrait indiquer qu eufy s'attaque désormais à la vulnérabilité en question.

Néanmoins, Moore, pour sa part, persiste à dire qu'il ne s'agit que de la partie émergée de l'iceberg des incidents de sécurité d'eufy ( )en prétendant par exemple avoir compris sa clé de cryptage https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storage car elle est bien trop basique

Bien qu'eufy ait publié une réponse à ces affirmations, M. Moore estime qu'elle est "complètement et totalement à côté de la plaque" et aurait exprimé son intention de poursuivre Anker en justice.

Heureusement, il y a d'autres options quand on envisage un système de sécurité domestique, PoE inclus.