Security Week 2249: особенности защиты сетевых видеокамер Eufy
На прошлой неделе издания Ars Technica и The Verge сообщили о проблемах с защитой данных в IP-видеокамерах Eufy (этот бренд принадлежит компании Anker). Интересная особенность этих публикаций — это ссылка на драму — бурное обсуждение в «Твиттере» как главный источник информации. Несмотря на то что обнаруженные, скажем так, особенности работы видеокамер были проверены независимыми друг от друга исследователями, реальный ущерб для пользователей оценить достаточно сложно.
Не помогает и позиция самого производителя, который в одном сообщении опровергает все обвинения в нарушении приватности, в другом — косвенно подтверждает то, что обнаружили исследователи. Главная проблема Eufy заключается в том, что производитель обещает полную приватность и работу без «облаков» (в смысле, что все данные остаются на устройстве, а если и передаются владельцу, то исключительно по зашифрованному соединению). На самом деле на серверы производителя без спроса отправляются как минимум отдельные кадры с видеокамер, когда они фиксируют движение. Но при некоторых условиях без всякого шифрования отдается в сеть и полноценный видеопоток.
The Verge приводит вот такие красивые слова с сайта производителя:
Локальное хранение приватных данных, шифрование end-to-end и локальное распознавание лиц, без обработки на сервере производителя. Звучит, как подходящий продукт для человека, желающего максимально обезопасить себя от подглядывания. Примерно такими же аргументами руководствовался британский специалист по безопасности Пол Мур, выбирая устройство. Естественно, сразу же после приобретения умного дверного звонка с двумя видеокамерами от Eufy, он решил проверить, насколько обещания соответствуют реальности. Обнаружил он вот что.
Видео из твита выше показывает простейший анализ кода веб-интерфейса для работы с камерой. Исследователь нашел запросы к серверу Eufy на хостинге Amazon, содержащие кадры с его сетевой камеры. Более того, если камера распознавала лицо человека, на сервер также отправлялся некий индикатор ai_face_id. В принципе, этого достаточно, чтобы опровергнуть заявления компании об обработке приватных данных только на устройстве и их передаче в веб-интерфейс или приложение исключительно в зашифрованном виде. В сообщении Eufy, которое Пол опубликовал позднее, такая практика подтверждалась, но в свою защиту компания говорила, что все изображения удаляются в течение 24 часов.
Вполне вероятно, что захват отдельных кадров с камеры сделан для удобства пользователей — например, для встраивания снапшотов в уведомления на мобильном устройстве. 28 ноября Пол Мур сообщил, что компания обфусцировала запросы к серверу, но не прекратила отправлять изображения, а просто затруднила их обнаружение путем простейшего анализа кода веб-интерфейса. Но это было только начало проблем Eufy. Пол Мур и еще один анонимный исследователь нашли способ получить видеопоток с камеры, который будет доступен любому желающему, если тот угадает правильный URL.
Все детали такого «взлома» Пол Мур публиковать не стал, но кое-что раскрывается в статье The Verge. По их данным, видеопоток не зашифрован, а URL-адрес для доступа к нему недостаточно хорошо рандомизирован. Адрес для получения видеопотока строится на основе серийного номера видеокамеры, даты и времени в Unix-формате, а также случайного четырехзначного шестнадцатеричного числа, которое легко подобрать перебором. Помимо этого, имеет место некий token для авторизации, который, впрочем, на сервере Eufy не проверяется.
Справедливости ради стоит отметить, что любой желающий вряд ли сможет просто так получить доступ к видео с любой камеры Eufy. Серийные номера имеют сложную структуру и, вероятно, не назначаются последовательно. Видеопоток доступен не всегда, а только по определенному событию — например, когда кто-то нажимает кнопку на умном дверном звонке. То есть нужно угадать время и подобрать (возможно) вновь создаваемый URL. Остальные обвинения в сторону Eufy и вовсе требуют дополнительного изучения. В одном из твитов Пол сообщил, что сброс устройства и его повторное привязывание к учетной записи восстанавливает архив видео — намекая, что на сервере хранится то, что согласно обещанию компании, там храниться не должно (если бы использовалась только память устройства, она к тому моменту уже была очищена).
В общем, задуманное исследование приватности явно пошло не так. Даже если компания и допустила какие-то ошибки в защите пользовательских данных, можно было поделиться с ней информацией приватно и дать время на исправление. Вместо этого все данные сразу были выложены в открытый доступ. С другой стороны, производителя никто не принуждал делать смелые обещания на своем сайте, а полное отрицание каких-либо проблем явно не соответствует реальности. По большому счету облачное хранение фотоснимков и видеозаписей — это удобная фича, но хотелось бы, чтобы решение о ее использовании мог принимать сам владелец.
Что еще произошло:
Исследователи «Лаборатории Касперского» опубликовали подробный разбор двух троянов-шифровальщиков, в котором описали нестандартные способы их распространения. В этой статье также приводится интересная статистика о вероятности быть атакованными шифровальщиком. В период за январь — октябрь 2022 года таким атакам подверглись 0,26% пользователей. Вроде бы немного, но успешное заражение в каждом случае приводит к катастрофическим последствиям. Кроме того, доля атакуемых пользователей выросла по сравнению с таким же периодом 2021 года.
Еще одна публикация экспертов «Лаборатории Касперского» посвящена троянской программе CryWiper. Она прикидывается шифровальщиком, но на самом деле безвозвратно уничтожает данные.
На сервере подрядчика компании ENC Security какое-то время были доступны всем желающим приватные данные, включая ключи шифрования и токены доступа к учетной записи в сервисе Mailchimp. ENC Security — поставщик софта для шифрования данных на носителях известных производителей, включая Sandisk, Sony и Lexar.
LastPass сообщает о новой утечке данных, в ходе которой была похищена некая пользовательская информация. Инцидент стал следствием августовского взлома инфраструктуры компании — доступ взломщиков к одному из ресурсов сохранился даже после проведения аудита безопасности. Пароли пользователей не пострадали — компания вновь напоминает, что не хранит мастер-ключи для доступа к ним.
Большая новость прошлой недели — кража приватных сертификатов производителей смартфонов (предположительно, пострадали LG и Samsung). Вредоносный код, подписанный таким сертификатом, будет запускаться на устройстве с полными привилегиями. К счастью, установленные на смартфонах сертификаты можно сменить, выпустив обновление ПО.
