Ça se complique pour Eufy. Le fabricant commercialise des caméras connectées pour lesquelles il affirme que toutes les vidéos sont stockées localement et partagées de manière chiffrée. Il semblerait pourtant que les images des caméras soient accessibles à distance à partir d'un simple flux vidéo à entrer dans un logiciel comme VLC.
En début de semaine, le constructeur de caméras connectées a été accusé de transférer automatiquement des données sur ses serveurs, même lorsque les fonctions de stockage dans le nuage sont désactivées. Le chercheur en sécurité Paul Moore affirmait même qu'il était possible de démarrer un stream à distance, et cela sans aucun identifiant ni mot de passe. Le fabricant a immédiatement démenti cette accusation, mais a reconnu envoyer certaines données dans le nuage.
The Verge s'est adonné à quelques tests et confirme la faille : les journalistes ont pu visionner des images provenant de leurs caméras Eufy à distance via un flux lancé sur VLC. Cela prouve qu'Eufy a bien un moyen de contourner le chiffrement et d'accéder à ses caméras « sécurisées » par le cloud.
Si les journalistes ont obtenu le flux en utilisant une méthode impliquant de connaître leurs identifiants, ils affirment que l'adresse se compose en grande partie du numéro de série des caméras encodé en Base64. Autrement dit, il n'est pas bien compliqué de le décoder avec de simples outils en ligne.
De plus, ces numéros de série sont rarement cachés : ils sont parfois directement présents sur la boîte de certains produits. Une personne mal intentionnée pourrait aller noter les numéros en magasins, ou encore revendre des caméras dont elle a réussi à extraire les adresses des flux. Heureusement, les numéros de série ne se suivent pas : il ne sera pas possible d'en deviner plusieurs à la chaîne.
L'adresse se compose ensuite d'un horodatage Unix ainsi que d'un token que les serveurs d'Eufy ne semblent pas valider : là non plus, rien de bien compliqué pour d'éventuels pirates. Il utilise enfin un hexadécimal aléatoire à quatre chiffres qui pourrait facilement être forcé (65 536 combinaisons). Les choses semblent bouger du côté du fabricant, et The Verge explique que certaines méthodes ont été bloquées depuis la diffusion de l'article, mais qu'une des adresses de flux continue de fonctionner.
Cet article vient s'ajouter aux critiques pointées par Paul Moore en début de semaine. Le chercheur en sécurité affirmait notamment que la clef de chiffrement utilisée par Eufy était simplement « ZXSecurity17Cam@ » et que des données (comme les vignettes photo) étaient envoyées sur les serveurs d'Eufy sans demander le consentement de l'utilisateur.
