Kameraer som selges i Norge er en sikkerhetskatastrofe

“Serverfeil” gjorde at Eufy eiere kunne se inn i hverandres hjem,” skrev vi i mai 2021.

Så dårlig sikkerhet at det er vanskelig å fatte

Den gang forklarte kunder av Ankers “sikkerhetskameraer” at de “kunne jeg se hvert eneste kamera, inngangsdør, bakdør, soverommet, stua, garasjen, kjøkken, deres opptak startet av bevegelse, alt.”

Videre meldte vi at “Eufy har uttalt til Android Police at feilen varte i en times tid og at det ikke påvirket deres baby-call produkter. På Reddit deles en melding som skal ha blitt sendt fra Eufy til deres kunder.”

Det skal også være problemer med at innhold som ikke skal deles med skyen, deles med skyen uansett om funksjonen ikke er aktivert – sikkerhetsnøkkelen skal også være på avveie (Paul Moore har saksøkt Anker):

You have some serious questions to answer @EufyOfficial

Here is irrefutable proof that my supposedly "private", "stored locally", "transmitted only to you" doorbell is streaming to the cloud – without cloud storage enabled.#privacyhttps://t.co/u4iGgkWkJB

— Paul Moore (@Paul_Reviews) November 23, 2022

Videoer fra Eufy-kameraer er ikke engang krypterte

Nå er det vinteren 2022, og problemet er ikke rettet, men er så mye verre enn hva noen kunne ha trodd. Ifølge The Verge har til og med selskapet løyet til dem og sagt at det som nå skjer, ikke er teknisk mulig.

Så hva er det som nå skjer? Jo, det er mulig via en hack å koble seg til ethvert Anker Eufy-kamera via video-apper som VLC – det stemmer; det er ingen kryptering av video-strømmen, til tross for Ankers reklame:

Skal ha løyet til The Verge

Problemene fortsetter for Anker, for The Verge spurte selskapet som i hovedsak er kjent for ladere, om det faktisk stemmer at man kan videostrømme andres sikkerhetskameraer med VLC fordi ingenting er kryptert. Fordelen er at kameraer som sover ikke blir vekket om man prøver.

“Jeg kan bekrefte at det ikke er mulig å starte en strøm og se direkte-video med en tredjepartsspiller som VLC,” forklarte Brett White til The Verge.

Avisen kan nå bekrefte at dette ikke er sant:

Denne uken har vi gjentatte ganger sett live-opptak fra to av våre egne Eufy-kameraer med den samme VLC-mediespilleren fra hele USA. Det beviser at Anker har en måte å omgå kryptering på og få tilgang til disse antatt sikre kameraene gjennom skyen.

The Verge

“Men det blir verre”

Ifølge The Verge er det ikke bevist at ondsinnede har prøvd trikset før som inkluderer å logge inn med brukernavn og passord “før Eufys nettside hoster opp den krypteringsfrie strømmen.”

Ok, det er jo bra. Det er også bra at kameraene må være aktive for å smugtitte, men det er et desto større problem som følger dette:

“Eufys beste metoder ser ut til å være så dårlige at ondsinnede kan være i stand til å finne ut adressen til en kamera-strøm. Dette fordi adressen i stor grad består av kameraets serienummer kodet i Base64, noe du enkelt kan reversere med en enkel nett-kalkulator.”