Eufy transfère des images depuis ses caméras sans autorisation, le fabricant s'explique 🆕
Une des marques de fabrique d'Eufy, constructeur — entre autres — de caméras connectées, est que les enregistrements vidéo peuvent être stockés en local et uniquement en local. Mais ce n'est pas tout à fait le cas, selon les découvertes troublantes du consultant en sécurité Paul Moore. Il a remarqué que sa sonnette Doorbell Dual transférait automatiquement des données sur les serveurs d'Eufy quand bien même la fonction cloud n'était pas activée.
Le fabricant propose un service d'hébergement dans le nuage, mais il n'est pas nécessaire et Paul Moore n'y avait pas souscrit. Parmi ces données téléversées on trouve des vignettes de visages ainsi que des informations sur l'utilisateur. En revanche, il ne s'agit pas d'enregistrements vidéo au complet. Ces données ne devraient tout simplement pas être transférées, ce d'autant que pour la marque, il s'agit d'un argument de vente. On trouvera d'autres témoignages sur ce fil Reddit, et cela ne concerne pas que la sonnette : les caméras aussi sont manifestement concernées.
Ah well, the cats out the bag now... so may as well tell you.
— Paul Moore (@Paul_Reviews) November 25, 2022
You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.
Please don't ask for a PoC - I can't release this one.
Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX
Encore plus inquiétant, le chercheur indique aussi que les flux provenant des caméras Eufy peuvent être consultées dans des applications comme VLC, il s'agit de streams non chiffrés donc accessibles sans avoir à s'identifier. Il n'en dit pas davantage, mais il est en contact avec le fabricant, lui laissant un peu de temps pour colmater les éventuelles brèches de sécurité.
Mise à jour le 30 novembre : la marque a envoyé un communiqué qui explique certains points. Elle indique que les flux vidéo sont stockés localement et cryptés chiffrés sur l'appareil, ce qui n'entre pas en contradiction avec la possibilité d'accéder aux flux en direct. Pour les vignettes, la société explique qu'elles sont bien envoyées sur les serveurs (gérés par AWS, c'est-à-dire Amazon) mais qu'elles sont effacées automatiquement (le délai n'est pas indiqué) et que seul l'utilisateur peut y accéder. La marque s'engage donc à modifier ses applications pour indiquer explicitement que le choix d'une notification avec une vignette implique l'envoi d'une vignette sur un serveur tiers. Elle explique aussi que ce choix est conforme au RGPD.
Pffff…… Y’en a pas un qui rattrape l’autre…
@Fanoo
C’est clair…. Tous des enculés.
Tous les IoTs que j’ai en wifi ont pour règle réseau de ne pas pouvoir sortir sur internet (freebox profil > IoT > No internet)
@j3r3m067
Comment es tu notifié des détections alors?
Est ce bien utile un IoT non accessible à distance ? C’est plutôt un LoT (Local network of Thing) non
@garba50
Par exemple pour homekit tu autorise uniquement ton Apple TV
@Crash System
C’est exactement ça ;)
@garba50
Mes IoTs n’ont pas accés à internet quand bien même, promis, juré, craché, en activant réseau local le fabriquant indique que rien ne sort du LAN… Bein voyons.
Cela dit, j’ai l’accés à distance non pas par des services tiers auxquels je ne ferai jamais confiance mais avec des outils que j’ai dévelopés moi-même.
Et les notifications sont toujours fonctionnelles.
@garba50
Oui c’est plus du LoT, je me repose sur l’Apple TV qui fait office de hub et de concentrateur, puisque pour les camera j’ai activé le HomeKit secure (pas sûr du no m)
@j3r3m067
Oui c’est bien HomeKit secure video HKSV ou HSV 🤔😈
@garba50
« C’est plutôt un LoT (Local network of Thing) non »
Ouf, enfin une explication, je me croyais perdus en mer. 👍🍻
C’est ce que j’utilise comme caméra, ça incite à la confiance T__T
@monsieurg33K
C’est pas la première bourde de mémoire …
Mais non !!! Ils diront que c’est seulement pour l’IA que c’est envoyé…pour la reconnaissance faciale 😜
Je m’étais bricolé (avec un tuto) un système de vidéo surveillance avec un raspberry, une batterie, panneau solaire et carte 4g : aucun problème de confidentialité…
Perso, la caméra est désactivée sur l’app Eufy mais jumelée à Homkit donc le flux vidéo ne passe que par Apple.
Ça, tu ne peux pas en être sûr. Rien n'interdit à la caméra d'envoyer quand même des données à Eufy, puisque les choix de désactivation dans l'app Eufy ne sont pas toujours respectés (même quand tu désactives le cloud dans l'app Eufy, des données leur sont quand même envoyées...).
@r e m y
Il faudrait obliger les constructeurs à mettre un cache devant les caméras !
Personnellement je ne suis pas touché ( enfin j’espère ) car j’ai installé mes deux Eufy avec HomeKit Secure Video et sans l’application Eufy ( et de toute façon elle sont dehors…)
Quand je part les Caméras s’activent automatiquement et quand je reviens elle se désactive mais il serait bien que le cache se ferme aussi pour être sur ! Ça devrait être obligatoire 👿
Et mettre des amandes record pour ces boites qui ne respectent rien ! Heureusement que l’ont peut compter sur des personnes très compétentes comme ce monsieur, donc merci à lui 😈
Il faudrait avoir plus de détail sur la façon dont les caméras communiquent avec les serveurs d'Eufy, mais ça peut très bien être programmé en dur dans le firmware des caméras (un reste de liens URL utilisés dans la phase de déboggage et que les développeurs n'ont pas retiré, par exemple) et être totalement indépendant de l'app Eufy. Dans ce cas, tu serais également concerné par cette communication non désirée (et ça expliquerait que quels que soient les paramétrages dans l'app, pour ceux qui l'utilisent, des données soient quand même envoyées à Eufy)
@r e m y
Je ne sais pas 🤔 ça ne me parait quand même pas évident car le flux enregistré par HKSV est crypter ce qui voudrait dire qu’il y aurait 2 flux vidéos distincts… alors que l’ont sait maintenant que des constructeurs retire HKSV qui est trop lourd et trop énergivore et qu’ils n’y arrivent pas.
D’ailleurs 16.2 doit revoir tout le code HomeKit et certainement optimisée ce problème.👿
On ne parle pas de flux vidéo dans ce qui part chez Eufy mais de "vignettes de visages ainsi que des informations sur l'utilisateur".
Il est bien précisé dans l'article: "En revanche, il ne s'agit pas d'enregistrements vidéo au complet"
Après il y a le 2e problème mis en évidence: "les flux provenant des caméras Eufy peuvent être consultées dans des applications comme VLC, il s'agit de streams non chiffrés donc accessibles sans avoir à s'identifier."
@r e m y
«Encore plus inquiétant, le chercheur indique aussi que les flux provenant des caméras Eufy peuvent être consultées dans des applications comme VLC, il s'agit de streams non chiffrés donc accessibles sans avoir à s'identifier. Il n'en dit pas davantage, mais il est en contact avec le fabricant, lui laissant un peu de temps pour colmater les éventuelles brèches de sécurité.»
C’est bien pire car il ne révèle pas tout !👿
@R-APPLE-R
Comme celle-ci dont l'objectif pivote vers le haut 😉
https://www.amazon.fr/eufy-int%C3%A9rieure-d%C3%A9tection-Compatible-Assistants/dp/B086LBCQJL/ref=mp_s_a_1_2?crid=39H51PLS2B0QI&keywords=eufy+security&qid=1669799136&qu=eyJxc2MiOiI1LjI5IiwicXNhIjoiNC42NSIsInFzcCI6IjQuMjcifQ%3D%3D&sprefix=eufy+%2Caps%2C173&sr=8-2
@R-APPLE-R
J’ai mis des interrupteurs connectés sur les miennes qui éteignent l’alimentation de la caméra quand quelqu’un arrive et a mon réveil. Et réactive quand la dernière personne part et au coucher.
@Balrog
J’ai aussi mis des prises connectés mais pour les éteindre et rallumer en cas de problème Wifi, mais oui c’est effectivement une solution sauf que de les allumer est éteindre tout le temps elles finissent par ne plus se connecter, j’en ai perdu 2 comme ça rien à faire elles sont morte ☠️👿
@R-APPLE-R
Mince, moi deux trois ans que j’utilise cette méthode et ça fonctionne toujours
@r e m y
HomeKit secure sur le routeur par exemple 😉
Voir NextDNS
Mais il me semble que les caméras HomeKit, si configurés en HomeKit, ne peuvent rien envoyer appart à Apple 🤔
A partir du moment où on parle d'une faille de sécurité, tout est possible. Les règles théoriques qui gèrent ce qui est autorisé ou pas sont susceptibles d'être by-passées!
@r e m y
Ici on ne parle pas d’une feuille mais du fait que si on dit à l’app d’Eufy non, ça envoie quand même 🤔
Le chercheur parle bien d'une faille possible "Il n'en dit pas davantage, mais il est en contact avec le fabricant, lui laissant un peu de temps pour colmater les éventuelles brèches de sécurité."
Mais que ce soit une faille ou un choix intentionnel d'envoi même quand on refuse, c'est pareil! Les règles théoriques qui font qu'une fois configurée en HomeKit secured vidéo une camera ne doit envoyer ses données que via Apple peuvent être contournées.
@r e m y
« Le fabricant propose un service d'hébergement dans le nuage, mais il n'est pas nécessaire et Paul Moore n'y avait pas souscrit. »
On parle ici d’une fonction qu’on n’a pas demandé 🤔
Utilisez chez moi en HomeKit secure vidéo seulement et installer sans l’application, mais franchement l’Union européenne devrait mettre une amande record pour que ça n’arrive plus 👿
@R-APPLE-R
grave
@R-APPLE-R
"une amande record"
Tu parles du mollusque bivalve du même nom ou du fruit de l’amandier? 🙄
@Sindanárië
Celle que l’ont se prend dans le c… 😈
@R-APPLE-R
Alors ce n’est pas le bon terme. Merci de ne pas jouer avec la nourriture 😈
@Sindanárië
Désolé monsieur ça n’arrivera plus 🥹😈
Oh que c’est vilain! Ah ces produits connectés ! Que de la merde…
Jamais avec les serveurs (ou clouding si vous voulez requalifier) pour tous les données privées, sensibles et personnelles ! 📛
Leurs réponses ne me satisfait pas du tout !
En aucun ca sil n’est fait mention du problème détecter par ce monsieur et comment y remédier !
Même pas : c’est un bug rien !
Genre, si ça passe comme ça ont pourras continuées à espionner les gens !
Désolé c’est pas une réponse et il faudrait porter plainte, et surtout que l’Union européenne s’empare du dossier ! 👿👿👿
Dis-moi, qui était partant pour acheter une ou deux de ses caméras pour Noël, qui me semblait être le meilleur, rapport qualité prix… Et ben non, je vais voir autre chose…
Bonjour
Il y a quelque chose qui me dérange dans tous ces visiophone vidéo connecté au cloud qui film et enregistre en permanence ne sont-ils pas soumis comme pour la vidéosurveillance au masquage vu qu’ils donne sur la voie publique ou voisin ?
il me semble même que c’est interdit ?
Oui il est totalement interdit de filmer la voie publique, sauf pour autorités publiques compétentes.
Filmer chez ses voisins est tout aussi interdit.
Quand j’ai cherché pour mettre des cameras chez moi, je suis finalement parti sur un NAS synology avec Surveillance station après avoir tout étudié encore et encore.
Quand je vois le nombre de news de cameras connectées au cloud qui respectent rien niveau vie privée, ou avec des failles de sécurité énorme, je regrette pas le temps passé à tout configurer.
@TiTwo102
Logitech, Eve. Tout HomeKit 😉
An tout cas bravo.
Après les armes, maintenant les vidéos caméra espions, la confiance règne. 🌈