این برند برتر دوربین امنیتی ممکن است بدون اینکه شما بدانید عکس‌ها را در فضای ابری آپلود می‌کند

یک محقق امنیتی ادعا کرده است که دوربین‌های امنیتی Eufy عکس‌های حاوی داده‌های شناسایی شخصی را روی سرورهای خود آپلود می‌کنند که نه تنها پیشنهاد فروش کلید خود، بلکه مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) را نیز نقض می‌کند.

بر اساس گزارشی که توسط Android Central ()محقق امنیتی پل مور کشف کرد که دوربین دوبل Eufy Doorbell داده های تشخیص چهره را بدون رمزگذاری در ابر AWS شرکت آپلود می کند.

از سوی دیگر، این شرکت می‌گوید که کاملاً با مقررات حفاظت از داده‌ها مطابقت دارد و داده‌های جمع‌آوری‌شده فقط برای اطلاع‌رسانی استفاده می‌شوند.

با GDPR مطابقت دارد؟

در یک مجموعه ای از توییت ها ()مور ادعا کرد که داده‌ها همراه با نام‌های کاربری و اطلاعات دیگری ذخیره می‌شوند که می‌توان از آن‌ها برای شناسایی افرادی استفاده کرد که تصاویر آنها گرفته شده است. علاوه بر این، او ادعا می کند که Eury داده ها را حتی زمانی که کاربر آنها را از برنامه Eufy حذف می کند، نگه می دارد.

مور همچنین گفته است که فید ویدیو را می توان از طریق یک مرورگر وب، به سادگی با دانستن URL مناسب، بدون نیاز به رمز عبور، دسترسی داشت. او گفت که فیلم های دوربین رمزگذاری شده با AES 128 از یک کلید ساده استفاده می کنند که می تواند نسبتاً به راحتی شکسته شود.

از زمان انتشار این خبر، این شرکت ادعا می‌کند که «برخی از مسائل» را اصلاح کرده است، اما شفاف‌تر از آن نیست، بنابراین تأیید اینکه آیا موضوع ادامه دارد یا خیر غیرممکن است.

“متاسفانه (یا خوشبختانه، هر طور که به آن نگاه کنید)، Eufy قبلا تماس شبکه را حذف کرده و دیگران را به شدت رمزگذاری کرده است تا تشخیص آن تقریبا غیر ممکن شود؛ بنابراین PoC های قبلی من [proof of concept exploits] دیگر کار نمی کند ممکن است بتوانید با استفاده از بارهای نشان داده شده، نقطه پایانی خاص را به صورت دستی فراخوانی کنید، که ممکن است همچنان نتیجه ای را به همراه داشته باشد.» بعداً مور اضافه کرد.

از سوی دیگر، Eufy به این نشریه گفت که محصولاتش «با استانداردهای عمومی حفاظت از داده‌ها (GDPR) از جمله گواهینامه‌های ISO 27701/27001 و ETSI 303645 مطابقت کامل دارند.» به نظر می‌رسد مشکل زمانی است که کاربر تصمیم می‌گیرد که می‌خواهد. تصاویر کوچک همراه با اعلان های آنها.

اعلان‌های دوربین به‌طور پیش‌فرض فقط متنی هستند، به این معنی که هیچ تصویر کوچکی آپلود نمی‌شود، مگر اینکه مانند مور، کاربران این ویژگی را به صورت دستی فعال کنند.

Eufy همچنین گفت که تصاویر کوچک قبل از ارسال به عنوان یک اعلان، به طور موقت در سرورهای آن آپلود می شوند. علاوه بر این، این شرکت گفت که شیوه‌های اعلان فشاری آن مطابق با سرویس Apple Push Notification و استانداردهای Firebase Cloud Messaging و حذف خودکار است. نگفت کی

این شرکت اضافه کرد که تصاویر کوچک همچنین از رمزگذاری سمت سرور استفاده می کنند و گفت که نباید برای کاربران غیرمجاز قابل مشاهده باشند.

اگرچه برنامه امنیتی Eufy ما به کاربران اجازه می‌دهد بین اعلان‌های فشاری مبتنی بر متن یا تصویر کوچک یکی را انتخاب کنند، مشخص نشده است که انتخاب اعلان‌های مبتنی بر تصویر کوچک مستلزم میزبانی مختصر تصاویر پیش‌نمایش در فضای ابری است. این شرکت در پایان اظهار داشت: نظارتی که از جانب ما صورت گرفته است و ما صمیمانه از اشتباه خود عذرخواهی می کنیم.

در ادامه، Eufy ادعا می‌کند که زبان گزینه push notification و همچنین استفاده از ابر برای اعلان‌های فشاری را تغییر خواهد داد.