Kapı zili kamera verileriniz, olması gereken bir şey olmasa da bulutu ziyaret ettiğinde ne olduğuna bir göz atıyoruz.
Eufy ev güvenlik kameraları, kapı kamerası görüntüleri nedeniyle şu anda sorun yaşıyor. Bunun nedeni, buluta gitmemesi gereken verilerin zaten belirli koşullarda buluta gittiği ortaya çıktı.
Evinizi güvence altına almak: karmaşık bir teklif
Güvenli olmayan kameralar, korumasız bulut görüntüleri, olmaması gereken yerlere giden akışlar: Bunların hepsi, bir ev güvenlik sistemi satın alırken endişe edilecek alanlardır. Belki mülk genelinde tam CCTV istiyorsunuz. Belki de kameralara bağlı alarmlar veya sadece gün içinde kimin geldiğini görmek için bir kapı zili kamerası istiyorsunuz.
Tüm bu durumlarda, potansiyel alıcıların aşağıdaki sorulardan yalnızca bazılarının yanıtlarını bulması gerekir:
-
Cihazın interneti bağlı mı?
-
Beslemelere evinizin dışından erişebiliyor musunuz ve eğer öyleyse, nasıl?
-
Çekim parola korumalı mı? Cihaz parola korumalı mı?
-
Depolamadan bahsediyorsak, veriler yerel bir sürücüye mi yazılıyor yoksa bulut hizmetleri mevcut mu? Bulut teklifi ısmarlama mı yoksa cihazı seçtiğiniz bir bulut sağlayıcısına bağlayabilir misiniz?
-
Çekim şifreli mi? Ses kaydediliyor mu? Bunlardan herhangi biri ne kadar süreyle ve hangi koşullar altında saklanır?
-
Bir uygulama varsa, ne kadar güvenli?
-
Servis kesintisi olduğunda cihazlar çalışamaz hale mi geliyor?
Bu sadece rastgele kameralar satın alıp onları evinizin yan tarafına cıvatalamakla ilgili bir durum değil. Dikkate alınması gereken çok şey var ve o zaman bile, sizi tamamen habersiz yakalayabilecek bir şey olabilir… biz de öğrenmek üzereyiz.
“Yerel”, “ayrıca biraz bulut” anlamına geldiğinde
Pek çok kişi, kameralar söz konusu olduğunda, internet bağlantısı yolundan gitmemeyi veya buluta yerleştirilen görüntüleri seçmemeyi seçerek, dikkatli olmakta hata yapacaktır. Şimdi, güvenlik araştırmacısı Paul Moore, bu nedenlerle seçtiği bir sistemin aslında verileri zaten buluta yerleştirmek olduğunu keşfetti.
Cevaplaman gereken bazı ciddi soruların var @EufyOfficial
İşte sözde “özel”, “yerel olarak depolanan”, “yalnızca size iletilen” kapı zilimin bulut depolama etkinleştirilmeden buluta aktarıldığına dair reddedilemez kanıt.#mahremiyethttps://t.co/u4iGgkWkJB
— Paul Moore (@Paul_Reviews) 23 Kasım 2022
Küçük resimler biçimindeki yüz tanıma verileri ve diğer bilgiler, kullanıcı adlarına göre saklanıyordu. Paul Moore, verilerin sunucularda tutulduğunu iddia ediyor uygulamadan silindikten sonra bile. Gizmodo’nun belirttiği gibi, başka bir kullanıcı bu verilerin şifrelenmemiş olduğunu keşfetti. Moore, uzaktan bir akış başlatabileceğinizi ve VLC ile canlı olarak izleyebileceğinizi bile öğrendi.
Ah pekala, şimdi çantadan çıkan kediler… bu yüzden size söylesem iyi olur.
Uzaktan bir akış başlatabilir ve izleyebilirsiniz @EufyOfficial kameralar VLC kullanarak yaşıyor. Kimlik doğrulama yok, şifreleme yok.
Lütfen PoC istemeyin – Bunu yayınlayamam.
Önüne bak @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX
— Paul Moore (@Paul_Reviews) 25 Kasım 2022
Küçük resimlere ne oluyordu ve daha da önemlisi neden oluyordu? Eh, söz konusu sistem varsayılan olarak yalnızca metin uyarılarını kullanır. Varsa, küçük resim içeren seçeneklere izin vererek, bunu ince ayar yapma seçeneğiniz vardır. Olabildiğince netleştirilmeyen şey, bu küçük resimlerin bildirime ulaşmadan önce geçici olarak Eufy’nin AWS sunucularına gönderildiğiydi.
Tabii, uzun süre orada değil. Ancak, “Bulut yok, lütfen” politikasıyla bir cihaz satın alan kişiler, verilerinin hiçbir zaman Bulutta olmamasını bekleyecektir. Cihazın çalışmasının herhangi bir noktasında durumun böyle olmadığı ortaya çıkarsa, bu kişiler net bir açıklama ve bildirim yapılmadan anlaşılır bir şekilde rahatsız olacaklardır.
Bulutlu bir görünümü düzeltme
Burada dile getirilen birçok sorundan bazıları Eufy tarafından zaten yamalanmıştır ve kuruluş, Android Central’a bunun GDPR standartlarına tam uyumlu olduğunu söylemiştir. Buna rağmen Eufy, küçük resim tabanlı bildirimleri seçmenin önizleme görüntülerinin kısa süreliğine bulutta barındırılması anlamına geleceğinin yeterince netleştirilmediğini itiraf etti.
Android Central’a yapılan açıklamanın devamına göre şu değişiklikler yapılıyor:
“Küçük resimler içeren push bildirimlerinin geçici olarak bulutta saklanacak önizleme görüntüleri gerektirdiğini açıkça ayrıntılandırmak için eufy Security uygulamasındaki push bildirimleri seçenek dilini revize ediyoruz.
Tüketiciye yönelik pazarlama malzemelerimizde anlık bildirimler için bulut kullanımı konusunda daha net olacağız.”
Şu anda sahip olduğumuz şey, insanların bulut dışı depolama kapı zili sistemlerinin aslında ne kadar kısa olursa olsun bir tür bulut depolama yaptığını öğrenmeleri konusunda kesinlikle bir gelişme. Bu, ifşa ve işlevsellik ile ilgili net, şeffaf açıklamalar için ne kadar çaba sarf edilmesi gerektiğini gösterir. Bir sistem satın almadan önce durum tespiti yapan bir güvenlik araştırmacısı olmasına rağmen, yine de şaşırtıcı bir keşifte bulundu ve ancak o zaman cihazı çalıştırdı.
Kendi kullanım kılavuzunuzu okuduktan sonra, biraz yanlış görünen veya yeterince net olmayan herhangi bir şey varsa, yapabileceğiniz en iyi şey doğrudan desteğe başvurmaktır. Çoğu zaman böyle bir şey gerçek bir gözden kaçırmadır ve kuruluşlar bunu ilk seferde doğru yapmayı çok ister. İkinci denemede doğru yapmaları için ara sıra onlara yardım etmemiz gerekiyorsa, her şey başarısız olursa, hadi onu da hedefleyelim.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.