24 Gennaio 2023
Lo scorso dicembre la prima dichiarazione pubblica da parte di Anker sulla vicenda delle telecamere di sicurezza Eufy non così sicure, nei riguardi della quale scrivevamo che conteneva "alcune ammissioni importanti ma anche qualche lacuna". Adesso, con la seconda uscita, Anker è finalmente chiara, e ammette che il flusso video delle sue telecamere, in teoria costantemente protetto dalla crittografia, in realtà non lo era sempre.
Il problema - in breve, qui i dettagli - era che le telecamere Eufy potevano inviare immagini al cloud senza che i proprietari ne sapessero nulla, e anche se questi non erano abbonati al cloud. Non era tutto, perché a quanto pare chiunque avesse l'indirizzo IP di una videocamera e un lettore multimediale a cui darlo in pasto, ad esempio VLC, avrebbe potuto guardare da remoto la ripresa in tempo reale di quella videocamera.
Adesso Anker durante un lungo scambio di mail con i colleghi di theverge.com ha ammesso che le sue telecamere di sicurezza Eufy non possiedono la crittografia end-to-end nativa, e che possono produrre - e lo hanno fatto - dei flussi video non crittografati, non protetti, che potenzialmente avrebbe potuto vedere chiunque. Da una parte l'ammissione, dall'altra la rassicurazione sulla risoluzione del problema.
L'azienda ha fatto sapere che sta aggiornando ogni telecamera Eufy per implementare la tecnologia WebRTC che è protetta dalla crittografia di default. Quindi ogni richiesta di accesso allo streaming video proveniente dal portale web di Eufy darà luogo a un flusso video con crittografia end-to-end, impossibile da intercettare.
Commenti
Sbagliato, leggi meglio: basta avere la base dell'URL, e il resto dell'URL per identificare la telecamera era semplice da ottenere. Questo da Ars Technica:
[...] the camera-feed URL appears to be a relatively simple scheme involving the camera serial number in Base64, a Unix timestamp, a token that The Verge says is not validated by Eufy's servers, and a four-digit hex value. Eufy's serial numbers are typically 16 digits long, but they are also printed on some boxes and could be obtained in other places.
A meno che non hai un bunker dove tenere i dati è un po' inutile però
grazie per l'info. In pratica con una specie di hack si poteva riprodurre il flusso con vlc, adesso il proprietario non può più farlo, quindi si è perso una caratteristica utile per strada. Certo il flusso era in chiaro ma chi usa gli strumenti sviluppatore lo vede perché non è un niubbo.
l’unica telecamera sicura è quella che registra in locale.
non so manco cosa sia l'rtsp. Cmq come già scritto mal che vada hackereranno una telecamera che riprende campi, gatti e qualche volpe.
Se a un consumatore viene venduto un prodotto con la promessa che funzioni totalmente in locale, è normale che poi si aspetti che non si connetta a server altrui, magari fa questa scelta in seguito a qualche notizia su attacchi informatici ad aziende o sulla cura della propria privacy. Io che sono ferrato in materia so che è necessario che faccia passare dei dati su internet per ricevere notifiche e immagini, però la stragrande maggioranza della gente che conosco no. Se l'idea di base è che la telecamera non si connette ad altri server, non vado neanche a pensare che possa trasmettere stream video non crittografati. A peggiorare il problema c'è che sono state promosse molto attivamente da molta gente che ha una certa rilevanza, per dirne uno JerryRigEverything che non le manda a dire se qualcosa non gli quadra, e ha un sacco di video (sponsorizzati) sulla roba di Eufy e che spesso e volentieri ne ha parlato positivamente anche altri contesti.
Insomma è troppo facile dire "eh colpa tua che ti fidi dei cinesi"
Vabbe' ma pure voi che comprate Anker aspettandovi la qualità...
Per carità, nella loro fascia di prezzo ovunque operano sono imbattibili. Rapporto qualità prezzo dei migliori. Ma la sicurezza della casa è tutt'altra cosa e va presa un po' più sul serio dei powerbank e degli Hub USB.
nel mio caso se hackerano la mia cam ci vedono solo campi, i miei gatti e qualche volpe la notte. Però definire un prodotto come "di sicurezza" e non avere implementato nessuna "sicurezza" e da triplo lol carpiato
io ho una camera wireless con pannello solare della ezviz e la crittografia c'è eccome. Non credo servano grandi server fotonici per avere un minimo di sicurezza che la crittografia può garantire.
Massì che vuoi che sia,
Non ne so molto, ma credo che purtroppo questo è il prezzo da pagare spesso, per avere roba conveniente, senza cablaggi in giro, il server nascosto nello stesso stabile dove sono installate...
"telecamera di sicurezza" e "niente crittografia" sono semplicemente un ossimoro