یک محقق امنیتی ادعا کرده است که دوربینهای امنیتی Eufy عکسهای حاوی دادههای شناسایی شخصی را روی سرورهای خود آپلود میکنند که نه تنها پیشنهاد فروش کلید خود، بلکه مقررات عمومی حفاظت از دادههای اتحادیه اروپا (GDPR) را نیز نقض میکند.
بر اساس گزارشی که توسط Android Central ()محقق امنیتی پل مور کشف کرد که دوربین دوبل Eufy Doorbell داده های تشخیص چهره را بدون رمزگذاری در ابر AWS شرکت آپلود می کند.
از سوی دیگر، این شرکت میگوید که کاملاً با مقررات حفاظت از دادهها مطابقت دارد و دادههای جمعآوریشده فقط برای اطلاعرسانی استفاده میشوند.
با GDPR مطابقت دارد؟
در یک مجموعه ای از توییت ها ()مور ادعا کرد که دادهها همراه با نامهای کاربری و اطلاعات دیگری ذخیره میشوند که میتوان از آنها برای شناسایی افرادی استفاده کرد که تصاویر آنها گرفته شده است. علاوه بر این، او ادعا می کند که Eury داده ها را حتی زمانی که کاربر آنها را از برنامه Eufy حذف می کند، نگه می دارد.
مور همچنین گفته است که فید ویدیو را می توان از طریق یک مرورگر وب، به سادگی با دانستن URL مناسب، بدون نیاز به رمز عبور، دسترسی داشت. او گفت که فیلم های دوربین رمزگذاری شده با AES 128 از یک کلید ساده استفاده می کنند که می تواند نسبتاً به راحتی شکسته شود.
از زمان انتشار این خبر، این شرکت ادعا میکند که «برخی از مسائل» را اصلاح کرده است، اما شفافتر از آن نیست، بنابراین تأیید اینکه آیا موضوع ادامه دارد یا خیر غیرممکن است.
“متاسفانه (یا خوشبختانه، هر طور که به آن نگاه کنید)، Eufy قبلا تماس شبکه را حذف کرده و دیگران را به شدت رمزگذاری کرده است تا تشخیص آن تقریبا غیر ممکن شود؛ بنابراین PoC های قبلی من [proof of concept exploits] دیگر کار نمی کند ممکن است بتوانید با استفاده از بارهای نشان داده شده، نقطه پایانی خاص را به صورت دستی فراخوانی کنید، که ممکن است همچنان نتیجه ای را به همراه داشته باشد.» بعداً مور اضافه کرد.
از سوی دیگر، Eufy به این نشریه گفت که محصولاتش «با استانداردهای عمومی حفاظت از دادهها (GDPR) از جمله گواهینامههای ISO 27701/27001 و ETSI 303645 مطابقت کامل دارند.» به نظر میرسد مشکل زمانی است که کاربر تصمیم میگیرد که میخواهد. تصاویر کوچک همراه با اعلان های آنها.
اعلانهای دوربین بهطور پیشفرض فقط متنی هستند، به این معنی که هیچ تصویر کوچکی آپلود نمیشود، مگر اینکه مانند مور، کاربران این ویژگی را به صورت دستی فعال کنند.
Eufy همچنین گفت که تصاویر کوچک قبل از ارسال به عنوان یک اعلان، به طور موقت در سرورهای آن آپلود می شوند. علاوه بر این، این شرکت گفت که شیوههای اعلان فشاری آن مطابق با سرویس Apple Push Notification و استانداردهای Firebase Cloud Messaging و حذف خودکار است. نگفت کی
این شرکت اضافه کرد که تصاویر کوچک همچنین از رمزگذاری سمت سرور استفاده می کنند و گفت که نباید برای کاربران غیرمجاز قابل مشاهده باشند.
اگرچه برنامه امنیتی Eufy ما به کاربران اجازه میدهد بین اعلانهای فشاری مبتنی بر متن یا تصویر کوچک یکی را انتخاب کنند، مشخص نشده است که انتخاب اعلانهای مبتنی بر تصویر کوچک مستلزم میزبانی مختصر تصاویر پیشنمایش در فضای ابری است. این شرکت در پایان اظهار داشت: نظارتی که از جانب ما صورت گرفته است و ما صمیمانه از اشتباه خود عذرخواهی می کنیم.
در ادامه، Eufy ادعا میکند که زبان گزینه push notification و همچنین استفاده از ابر برای اعلانهای فشاری را تغییر خواهد داد.
آخرین دیدگاهها