Tidak diperlukan cloud, penyimpanan data lokal pada perangkat di jaringan Anda sendiri, semuanya aman dan pribadi – itulah yang diiklankan oleh perangkat rumah pintar Eufy. Perusahaan menjual, antara lain, bel pintu pintar dengan kamera, tetapi juga kamera pengintai murni yang terhubung ke jaringan perusahaan melalui WLAN.
Fitur khusus adalah penyimpanan di server cloud Eufy hanya bersifat opsional. Setidaknya, sepertinya begitu. Karena seperti peneliti keamanan Paul Moore bekerja sama dengan seseorang yang hanya dikenal sebagai “Wasabi”. telah menemukansemua ini tidak benar: Bahkan tanpa persetujuannya, data disimpan di server Eufy, ditautkan bersama dan lebih buruk lagi.
Panggilan ganda bel pintu di rumah
Moore memperhatikan perilaku yang tidak diinginkan pada bel pintunya sendiri, Bel Pintu Ganda, yang memiliki kamera. Dia menginstalnya dengan akun baru, dia sudah memiliki kamera Eufy lain. Dia kemudian melihat transfer data kamera baru dan dengan cepat menemukan bahwa itu berkomunikasi dengan rajin dengan server Eufy yang sudah dia ketahui, yang dia masukkan sebuah video youtube lemah. Panggilan API cukup sederhana, seperti dukungan AS nanti Verge memverifikasi sendiri: Mereka terdiri, antara lain, dari nomor seri kamera.
Melalui permintaan web, Moore bisa mendapatkan thumbnail dari kameranya. Mereka tampaknya disimpan dengan jelas di server Eufy. Namun, saat mengatur bel pintu, secara eksplisit memilih untuk tidak menyimpan data kamera apa pun di cloud. Dia juga menemukan bahwa data yang diberi tag dengan atribut “ID Wajah” dari kedua akunnya telah ditautkan dengan cara ini. Menurut Moore, foto dari setiap wajah yang dikenali direkam.
Streaming langsung melalui VLC
Dengan menggunakan tampilan URL, Paul Moore juga dapat mengakses streaming langsung dari kamera melalui PC menggunakan program VLC populer, yang dapat direplikasi oleh The Verge. Menurut Moore, tidak diperlukan login untuk ini – mengetahui URL saja sudah cukup. Ini diikuti oleh pertukaran email dengan dukungan Eufy. Darin membantah Perusahaan awalnya mengatakan produknya akan berfungsi seperti yang diiklankan, tetapi kemudian mengatakan “memperbaiki” masalah dengan mengenkripsi panggilan API. Moore harus melihatnya di episode. The Verge, pada gilirannya, kemudian berhasil meluncurkan streaming langsung dari kamera lain yang diketahui medianya. Lagi pula: seharusnya tidak mungkin hanya dengan menebak URL.
Pernyataan mendetail dari Anker, perusahaan induk Eufy, masih tertunda. Menurutnya, Paul Moore juga tidak lagi mendapat jawaban dan sudah tindakan hukum yang diambil. Untuk grup yang telah membangun reputasi baik sebagai pemasok aksesori dalam beberapa tahun terakhir, terutama melalui pengisi daya dan powerbank, perilaku kameranya telah memiliki konsekuensi: Saluran YouTube besar Linus Tech Tips untuk kerjasama bersama dengan Anker dan putrinya.
(tidak pernah)
“Pencinta kopi. Kutu buku alkohol yang ramah hipster. Pecandu media sosial yang setia. Ahli bir. Perintis zombie seumur hidup.”