Til hovedinnhold
Saken har annonselenker som gir VG inntekter. Redaksjonen prioriterer uavhengig av dette.Bytt

På Tek finner du saker med annonselenker, hvor du enten kan kjøpe produktene vi har omtalt eller sammenligne priser. Det mener vi er relevant informasjon for våre lesere.

Hvilke produkter Tek skal skrive om, og hva vi skal skrive om dem, velger journalistene og ingen andre. Men det er også viktig at du vet at hvis du klikker på en slik annonselenke til prissammenligning hos Prisjakt, eller kjøper et produkt etter å ha klikket deg inn til en butikk fra en av våre artikler, tjener Tek penger. Disse annonselenkene er alltid merket med «annonselenke».

Det er viktig å understreke at når vi omtaler produkter på Tek, så er det fordi vi mener det er journalistisk interessant. Ingen kan kjøpe seg omtale i våre saker.

I tester eller produktguider er hovedregelen i VG at vi kjøper eller låner produktet. Dersom det ikke er praktisk mulig, baserer vi omtalen på produktprøver vi har fått tilsendt. I så fall opplyser vi om hvilket produkt og hvorfor.

Enorm sikkerhetsbrist avslørt i Eufy-kameraer

Klarte å se «krypterte» videoer via en enkel nettadresse.

Anker/Eufy

Den amerikanske nettsiden The Verge hevder at produsenten Anker, som står bak sikkerhetskameraene Eufy, har et enormt sikkerhetsproblem.

Eufy-kameraene er relativt nye i det norske markedet, men er en veldig stor aktør globalt sett. De selges imidlertid hos «alle» de store butikkene i Norge nå, deriblant Elkjøp, Power og Komplett.

Produsenten selv lover at dataene fra kameraet alltid blir lagret lokalt, og med det aldri «forlater husets fire vegger», hvis man skrur av nettskylagring. Dataene skal også være kryptert med militært sikkerhetsnivå, slik at ingen andre enn bare du skal kunne se videoen.

Dette er til forskjell fra mange andre lignende sikkerhetskameraer, som bare lar deg lagre videoopptak i nettskyen, og en av funksjonene som har gjort Eufy til et populært merke hos mange.

Forrige uke avslørte imidlertid sikkerhetskonsulenten Paul Moore via Twitter, at han sammen med hackeren Wasabi, enkelt hadde klart å se direktesendte bilder fra Eufy-kameraer over nettet ved å bruke den populære videoavspilleren VLC.

Dette mener han beviste at videoopptak fra kameraene faktisk blir lastet opp på nettet, og ikke bare lokalt, slik selskapet har hevdet i årevis.

Oppdatert: Les Eufys forklaring nederst i saken.

Gjennomførte vellykket test

The Verge tok derfor kontakt med produsenten med spørsmål om det konsulenten hadde kommet frem til kunne stemme. Og ble møtt med beskjed om at det ikke var mulig å se på direkte fra kameraene ved hjelp av avspilleren.

Men i etterkant viser det seg at produsenten ikke har rett. For nettstedet satt opp en test selv, hvor de altså fint klarte å se video direkte fra et kamera som var satt på den andre siden av landet ved hjelp av VLC.

Så den sikre krypteringen til disse kameraene er tydeligvis ikke så god som produsenten selv hevder den er.

Ikke tilgjengelig for alle

Til tross for at Paul Moores avsløring stiller spørsmål ved Eufys sikkerhet på generelt nivå, er det ikke en umiddelbar fare for alle med Eufy-kameraer. Det er ennå ikke bevist at denne feilen har blitt oppdaget eller utnyttet av andre.

Det er heller ikke noe hvem som helst kan gjøre helt uten videre.

Først og fremst må man ha innloggingsinformasjonen til kontoen som kameraene er knyttet til.

Samtidig så vil du ikke kunne se hva kameraet fanger opp med mindre kameraet er aktivt. I testen måtte de derfor vente til kameraet fanget opp bevegelse, og dermed ble aktivt. Da kunne de spionere på kameraens videostrøm fra andre siden av landet.

Likevel er det andre ting som også er oppsiktsvekkende. For det viser seg at deler av adressen som kameraet sender via består av serienummeret til produktet.

Ergo vil du være tjent med å gjemme esken og ikke minst serienummeret om du skal sikre deg om uønskede «innbrudd» i overføringen.

Foreløpig har ikke Eufy kommet med en tydelig forklaring på hvordan en feil som dette kan være mulig, eller sagt noe om hva de skal gjøre for å tette hullet.

Oppdatert 12:20 med svar fra Eufy:

I en uttalelse sendt til Tek.no skriver Eufy at kritikken de har fått de siste dagene skyldes en misforståelse, og en feil som er tatt ut av proporsjoner.

De skriver at alt lagres lokalt, og at det eneste som lastes opp (midlertidig) i nettskyen er små miniatyrbilder fra kameraene:

– For å gi brukere push-varsler til sine mobile enheter, lager noen av våre sikkerhetsløsninger små forhåndsvisningsbilder (miniatyrbilder) av videoer som blir liggende på en AWS-basert skyserver i en kort periode. Disse miniatyrbildene bruker kryptering på serversiden og er satt til å slettes automatisk, skriver Eufy.

– Selv om eufy Security-appen vår lar brukere velge mellom tekstbasert eller
miniatyrbildebaserte push-varsler, ble det ikke gjort klart at valg av miniatyrbildebaserte varsler ville kreve forhåndsvisningsbilder som midlertidig ble liggende i skyen. Den kommunikasjonssvikten var en forglemmelse fra vår side, og vi beklager på det sterkeste
feilen vår.

De sier de nå vil justere ordlyden i appen, men kommenterer ingenting om Paul Moores eksempler på at man fikk tilgang til en hel videostrøm.

annonse