Non si tratta di vulnerabilità, ma di ciò che le aziende hanno fatto in seguito.
Quando si tratta di videocamere Wi-Fi a prezzi accessibili o videocamere Wi-Fi senza cloud, Review Geek consiglia da tempo due società: Wyze ed eufy . Abbiamo recensito molto bene i prodotti di entrambe le società e li abbiamo inclusi nel nostro “best of” elenca più volte. Ma da oggi non possiamo più consigliare neanche noi.
Le telecamere Wi-Fi sono, alla base delle cose, un dispositivo che richiede molta fiducia. Stai mettendo un gadget nella tua casa che può vedere alcune delle aree più personali e private della tua vita e potenzialmente trasmetterle al mondo. Anche se li mantieni nelle aree più “pubbliche” aree della tua casa, come il soggiorno o la cucina, è ancora un aspetto molto più personale di quello che la maggior parte delle persone ottiene nella tua vita.
Quindi, prima di acquistare una fotocamera, è bene sapere che l'azienda pratica buone procedure di sicurezza e adeguate divulgazioni. Quest'ultimo è particolarmente importante perché anche con le migliori procedure di sicurezza, nessuna azienda è perfetta ed è probabile che prima o poi ognuna di loro soffrirà di qualche tipo di vulnerabilità.
Ed è 8217;s a causa di cattive rivelazioni che noi di Review Geek stiamo rimuovendo sia le fotocamere Wyze che eufy dai nostri consigli. Ciascuno aveva una vulnerabilità ed entrambi non sono riusciti a divulgare responsabilmente questi problemi al pubblico, anche se in modi diversi.
Sommario
Wyze ha nascosto il suo piccolo problema
eufy non ammetterà nemmeno una grande vulnerabilità
Wyze ha nascosto il suo piccolo problema
WyzeAbbiamo riportato ampiamente il problema con Wyze, ma ecco un riassunto in poche parole. La vulnerabilità di Wyze è in realtà piuttosto piccola che probabilmente non ha colpito la maggior parte delle persone. Il problema si riduce a due particolari punti chiave, uno più raro dell'altro. Le telecamere Wyze hanno una funzionalità di visualizzazione remota che ti consente di controllare i video anche quando non sei a casa. Per la maggior parte delle persone questa funzione funziona solo se la abilitano.
Ma in alcuni rari casi, un router domestico potrebbe effettivamente impedire a Wyze di raggiungere per consentire la visualizzazione remota. Per aggirare questo problema, è possibile abilitare il port forwarding nel router di casa per creare un “tunnel” così Wyze potrebbe raggiungerti quando non eri a casa. Wyze ha offerto istruzioni su come farlo, ma ha ammesso che potrebbe ridurre la tua sicurezza su Internet.
La vulnerabilità in questione richiedeva l'abilitazione del port forwarding E l'inserimento di una scheda microSD nella videocamera per registrare video in locale. Quest'ultimo è abbastanza comune, ma il primo non così tanto. Poche persone probabilmente avevano entrambi i componenti. Ma per coloro che l'hanno fatto, è stato possibile che qualcuno entrasse nella tua videocamera e guardasse qualsiasi video sulla scheda SD. Ancora una volta, questo probabilmente non si applicava alla maggior parte dei proprietari di fotocamere Wyze, ma si tratta comunque di una cattiva vulnerabilità.
Nel 2019, i ricercatori di sicurezza per BitDefender hanno notificato a Wyze la vulnerabilità, ed è qui che le cose si mettono davvero male. Wyze si è seduto su quelle informazioni per tre anni. Alla fine, Wyze ha corretto la maggior parte delle sue fotocamere per risolvere il problema, ma a quanto pare l'azienda non poteva farlo per la Wyze Cam originale.
RELATEDWyze interrompe la produzione della sua prima videocamera di sicurezza e suggerisce ai clienti di aggiornare
Piuttosto che dirlo ai proprietari, tuttavia, la società ha deciso di interrompere la vendita della fotocamera (sì, ha venduto la fotocamera per la maggior parte di questo periodo) e ha annunciato che non avrebbe più ricevuto aggiornamenti. E per questo motivo, Wyze ha consigliato a chiunque possedesse l'aggiornamento della fotocamera originale e ha offerto un piccolo sconto per farlo.
Vedi il problema? Wyze non ha detto alle persone che possedevano la videocamera che esisteva una vulnerabilità che poteva consentire agli hacker di visualizzare i loro video. Ha solo consigliato un aggiornamento perché la fotocamera “non è più supportata.” Non è così che si gestisce questa situazione. Solo dopo che i ricercatori della sicurezza hanno finalmente fischiato, Wyze ha ammesso il problema.
RELATEDWyze ha lasciato alcune telecamere di sicurezza vulnerabili agli hacker, ma È complicato
Questa è una violazione della fiducia. Come possiamo essere sicuri che la prossima volta che Wyze incontrerà una vulnerabilità, ammetterà effettivamente il problema in modo che i consumatori possano fare una scelta informata? Solo per questo motivo, non possiamo più consigliare le fotocamere Wyze. Consigliamo comunque altri prodotti dell'azienda che non sono fotocamere, come i robot aspirapolvere. Ma monitoreremo attentamente e potremmo cambiarlo se necessario.
Stiamo cercando un buon sostituto di Wyze, qualcosa di economico, affidabile e preferibilmente con un'opzione per saltare la nuvola. Ed eufy è perfetto. Sfortunatamente, eufy ha intrapreso una strada simile, forse peggiore.
eufy non ha nemmeno ammesso di avere una grande vulnerabilità
Josh Hendrickson/Review GeekNegli ultimi giorni, eufy è passato attraverso lo strizzatore. I ricercatori di sicurezza hanno avanzato molteplici accuse, alcune minori e altre maggiori. La prima cosa che devi sapere su eufy è che promette che il tuo video non finirà mai sul cloud. Eufy non offre nemmeno un abbonamento cloud. La società afferma che tutti i tuoi video sono archiviati localmente sulla tua videocamera, utilizzando la crittografia di livello militare e che solo tu puoi accedere al video utilizzando l'app o l'interfaccia web di eufy. Nessun altro metodo funzionerà, né eufy potrà accedere al tuo video. Ciò lo rende ideale per chi è attento alla sicurezza.
La prima affermazione contro eufy è piuttosto minore in confronto. Nonostante l'affermazione secondo cui nessun video viene caricato sui server, è emerso che alcuni frammenti sono finiti sui server e in forma non crittografata. Questi sono sotto forma di miniature in una funzione opzionale dell'app eufy. Puoi scegliere di ricevere notifiche di immagini quando qualcuno suona il campanello, ad esempio, per vedere chi c'è alla porta nel pannello delle notifiche.
Riproduci video
Per fare in modo che ciò accada, eufy carica la miniatura sui server AWS (Amazon) per inviarla al tuo telefono e all'interfaccia web. Le miniature hanno alcune informazioni identificative che potrebbero essere potenzialmente utilizzate per identificare le persone, con qualche difficoltà. Eufy ha riconosciuto questo rapporto e si è impegnato ad aggiornare la lingua dell'app per rendere più chiaro che ottenere anteprime in miniatura richiede un caricamento temporaneo nel cloud. Le immagini vengono infine eliminate (sebbene eufy non abbia specificato in quanto tempo).
L'altra scoperta, tuttavia, è molto più preoccupante, così come la risposta di eufy. Numerosi ricercatori di sicurezza affermano che, nonostante le affermazioni contrarie di eufy, è del tutto possibile eseguire lo streaming di video non crittografati archiviati su telecamere eufy senza l'app, l'interfaccia web o il login. I dettagli sono complicati, ma si riducono ad alcune cose: il cattivo attore avrebbe bisogno del numero di serie della fotocamera, un timestamp UNIX (molto facile da ottenere) e una chiave esagonale (relativamente facile da usare con la forza bruta). Utilizzando queste informazioni, è possibile decodificare un indirizzo che puoi utilizzare per accedere alla videocamera da qualsiasi luogo, utilizzando altri software come VLC. In teoria, anche le telecamere richiedono un token per la convalida, ma questo non sembra funzionare e puoi fornire tutto ciò che desideri.
I ricercatori di sicurezza non stanno rilasciando i metodi esatti per paura di insegnare ai malintenzionati come accedere alle telecamere di sicurezza, ma affermano che con le giuste informazioni di cui sopra, potrebbero trasmettere video non crittografati dalle telecamere eufy tramite VLC. Ciò non dovrebbe essere possibile con le affermazioni di eufy.
The Verge ha chiesto a bruciapelo a eufy se i rapporti fossero veri e la società lo ha negato:
“Posso confermare che non è possibile avviare uno streaming e guardare filmati dal vivo utilizzando un lettore di terze parti come VLC,” Brett White, senior PR manager di Anker (la società madre di eufy), ha dichiarato a The Verge via e-mail.
Quindi cercare di ottenere visibilità, come proprietario di un prodotto Eufy questo è incredibilmente deludente ma a quanto pare puoi riprodurre i flussi della videocamera tramite VLC pic.twitter.com/cCYF7KgKvi< /p>
— Wasabi brucia piccantewasabi@infosec.exchange (@spiceywasabi) 25 novembre 2022
Ma The Verge è riuscito a riprodurre il reclamo e ha trasmesso il video in streaming dalle telecamere eufy tramite VLC. Nonostante l'affermazione di eufy secondo cui non era possibile. Va notato che in questo momento sarebbe difficile replicarlo in natura poiché è necessario il numero di serie di una fotocamera. Ma non si tratta esattamente di informazioni protette, le troverai sulle confezioni dei prodotti. Ed è potenzialmente possibile che i numeri di serie possano essere raccolti e divulgati, proprio come gli indirizzi email.
Ora che The Verge ha replicato l'affermazione, ti aspetteresti che eufy cambi idea. Ma non sembra essere così. In una dichiarazione rilasciata ad AndroidCentral, eufy continua a negare o ignorare del tutto il problema anche dopo la segnalazione di The Verge:
eufy Security è categoricamente in disaccordo con le accuse mosse alla società in merito alla sicurezza dei nostri prodotti. Tuttavia, comprendiamo che i recenti eventi potrebbero aver destato preoccupazione per alcuni utenti. Esaminiamo e testiamo frequentemente le nostre funzionalità di sicurezza e incoraggiamo il feedback del settore della sicurezza in generale per assicurarci di affrontare tutte le vulnerabilità di sicurezza credibili. Se viene identificata una vulnerabilità credibile, intraprendiamo le azioni necessarie per correggerla. Inoltre, rispettiamo tutti gli organismi di regolamentazione appropriati nei mercati in cui vengono venduti i nostri prodotti. Infine, incoraggiamo gli utenti a contattare il nostro team di assistenza clienti dedicato con domande.
E questo ci lascia su una barca simile a Wyze. Le telecamere di sicurezza, specialmente quelle che metti in casa, richiedono fiducia. Ed eufy ha infranto quella fiducia. Per certi versi, eufy è attualmente peggiore di Wyze, poiché quest'ultimo ha almeno ammesso il problema quando le informazioni sono diventate pubbliche. È ancora troppo tardi, ma eufy sta aspettando ancora di più. Quindi, in buona coscienza, non possiamo raccomandare ai nostri lettori le telecamere di sicurezza di nessuna delle due aziende.
In genere, se smettiamo di raccomandare un prodotto di un'azienda, come una telecamera di sicurezza, esponiamo i motivi e cosa ci vorrebbe per riconquistare la nostra raccomandazione. È successo con Ring: abbiamo smesso di consigliare le videocamere Ring, abbiamo esposto le nostre aspettative e, quando l'azienda le ha soddisfatte, abbiamo ricominciato a consigliare Ring. Ci piace anche offrire alternative che puoi acquistare invece.
Ma in questo caso, la situazione è molto più difficile. In che modo Wyze ed eufy riconquistano la fiducia dopo aver rifiutato di ammettere tempestivamente i problemi? The Verge arriva al punto di dire che eufy ha mentito nelle sue risposte, anche se si potrebbe obiettare che è possibile che il responsabile delle pubbliche relazioni abbia sbagliato ma abbia creduto alla loro affermazione. Tuttavia, eufy continua a negare le affermazioni, nonostante le prove fornite da numerosi ricercatori sulla sicurezza e punti giornalistici. Come torni da questo?
Semplicemente non lo so, quindi non sarà possibile raccomandare mai più nessuna delle due società. Li terremo d'occhio e partiremo da lì. Per ora, rimuoveremo eufy e Wyze dai nostri articoli che consigliano le fotocamere.
Per quanto riguarda le alternative, anche questa è una situazione delicata. Il semplice fatto è che nessun'altra azienda soddisfa il conto per fotocamere convenienti con opzioni cloudless che non richiedono hardware aggiuntivo per l'archiviazione locale o notifiche utili. Alcuni sono vicini, come Blink o Arlo, ma richiedono componenti aggiuntivi che aumentano il prezzo. Oppure vieni con società madri che non siamo sicuri di poter consigliare comodamente.
E francamente, ogni azienda è “una brutta giornata” lontano dalla stessa situazione. Tutto dipende da come gestiscono la divulgazione. Per ora, in tutta trasparenza, posso solo dirti che possiedo le videocamere Wyze e sono ancora collegate. Conosco i rischi e sono disposto a correrli.
Ma questo& #8217;non è la stessa cosa che consigliarli a qualcun altro. Nessuna raccomandazione dovrebbe iniziare con “questa è una buona opzione, ma prima dovresti sapere alcune cose.” E questo sarebbe un requisito. L'unica scommessa sicura che puoi fare è di non posizionare affatto telecamere di sicurezza in casa tua.