Le chercheur en sécurité Paul Moore a découvert une vulnérabilité critique en matière de données et de sécurité au sein de la marque eufy, qui appartient à Anker. Au moins la sonnette intelligente avec caméra, à savoir l’Anker Eufy Doorbell Dual, est concernée.
Anker Eufy Doorbell Dual transmet les données de reconnaissance faciale au serveur
Dans le cas de l’Anker Eufy Doorbell Dual, le fabricant promet sécurité et économie. Sur le site Web du produit, il est écrit : « Cela signifie que seule la famille a accès aux données – et ce, sans aucun frais de service cloud. »
Le chercheur en sécurité Paul Moore a découvert que ce n’était apparemment pas le cas et l’a enregistré dans une vidéo sur YouTube. Selon cela, la caméra est censée transmettre des données de reconnaissance faciale aux serveurs de l’entreprise, même lorsque le stockage cloud est effectivement désactivé et que seul le stockage local doit être utilisé.
Moore aussi via Twitter révèle que la caméra transmet des données au fabricant au cours du processus sans que cela lui soit demandé et sans consentement. Et cela via un appel API non crypté directement vers les serveurs d’eufy.
Selon Moore, même les noms et les lieux sont transmis, tandis que même le flux de la caméra peut être démarré sans authentification. Il n’y a pas non plus de cryptage clair des données, a ajouté Moore.
En mai 2022 déjà, BitDefender avait découvert diverses failles de sécurité critiques dans un produit eufy ; La caméra intérieure Eufy 2K était concernée à l’époque, qui est vulnérable de diverses manières.
Cliquez ici pour afficher le contenu de youtu.be
Toujours afficher le contenu de youtu.be
Ouvrez « Eufy divulgue vos images/visages et noms « privés »… vers le cloud. directementLe constructeur se vante de son niveau de sécurité particulièrement élevé et du fait que toutes les données de sa caméra ne sont stockées que localement. Même avec eufy HomeBase 3 et eufyCam 3, qui n’ont été introduits qu’en octobre, il est indiqué que les données ne sont stockées que localement et dans son propre cloud.
« HomeBase utilise un stockage local éloigné des serveurs cloud pour garantir que toutes les données restent à la maison » dit le fabricant. Cependant, il n’est pas clair si ces produits transmettent également des données au cloud du fabricant sans que cela soit demandé.
Addendum : Déclaration d’Anker
eufy Security est conçu comme un système de sécurité domestique local. Toutes les séquences vidéo sont stockées localement et cryptées sur les appareils des utilisateurs. La technologie de reconnaissance faciale d’eufy Security est également traitée et stockée localement sur l’appareil. Nos produits, services et processus sont entièrement conformes aux normes applicables du Règlement Général sur la Protection des Données (RGPD), notamment les certifications ISO 27701/27001 et ETSI 303645.
Afin de fournir aux utilisateurs des notifications push pour leurs appareils mobiles, certaines de nos solutions de sécurité peuvent afficher de petites images d’aperçu (appelées vignettes) de vidéos hébergées brièvement et en toute sécurité sur un serveur cloud basé sur Amazon Web Services (AWS). Ces vignettes utilisent le cryptage côté serveur et sont configurées pour être automatiquement supprimées. Ils sont conformes à toutes les normes des services de notification push Apple (application iOS) et de messagerie cloud Firebase (application Android). Ce n’est qu’une fois que les utilisateurs se sont connectés en toute sécurité à leur compte eufy Security qu’ils peuvent accéder ou partager ces vignettes.
Bien que notre application eufy Security offre aux utilisateurs la possibilité de choisir entre des notifications push basées sur du texte et des miniatures dès le lancement, nous n’avons pas précisé suffisamment clairement que lorsque les notifications miniatures sont sélectionnées, les miniatures sont brièvement hébergées dans le cloud.
Ce manque de communication était un oubli de notre part et nous nous excusons sincèrement pour cette erreur.
Nous améliorerons notre communication, notamment dans les domaines suivants :
- Nous réviserons le libellé des options de notification push dans l’application eufy Security pour indiquer clairement que les notifications push avec des vignettes nécessitent de petites vignettes temporairement stockées dans le cloud.
- Nous mettrons plus clairement en avant l’utilisation du cloud pour les notifications push dans nos supports marketing grand public.
eufy Security s’engage pleinement à protéger la vie privée et les données de ses utilisateurs et remercie la communauté de la sécurité d’avoir porté ce problème à notre attention.Anker
Jeu de briques
Snake
Pacman
Bubble