Anker’s Eufy umožňuje přístup k nešifrovaným videím, generální opravy plánů

Po dvou měsících dohadování se s kritiky o tom, kolik aspektů jeho „bezoblačných“ bezpečnostních kamer mohou bezpečnostní výzkumníci získat online, poskytla divize inteligentních domácností společnosti Anker, Eufy, podrobné vysvětlení a slibuje, že bude lepší.

V četných odpovědích na The Verge , který opakovaně obvinil Eufy, že neřeší klíčové aspekty svého bezpečnostního modelu, Eufy výslovně uvedl, že k video streamům produkovaným jejími kamerami lze přistupovat nešifrovaně přes webový portál Eufy, a to navzdory zasílání zpráv a marketingu, které předpokládaly naproti. Eufy také uvedla, že přivede penetrační testery, zadá zprávu nezávislého bezpečnostního výzkumníka, vytvoří program odměn za chyby a vyladí své bezpečnostní protokoly.

Do konce listopadu 2022 byla společnost Eufy prominentní mezi poskytovateli zabezpečení chytrých domácností. Pro ty, kteří jsou ochotni svěřit toky videa a další domácí data jakékoli společnosti, se Eufy účtuje jako nabídka bez cloudu nebo nákladů se šifrovanými toky přenášenými pouze do místního úložiště.

Pak přišlo první z Yufiho žalostných odhalení. Bezpečnostní konzultant a výzkumník Paul Moore se Yufiho na Twitteru zeptal na několik nesrovnalostí, které našel. Obrázky z jeho zvonkové kamery, zdánlivě označené daty rozpoznávání obličeje, byly zpřístupněny na veřejných adresách URL. Zdroje z kamery, když byly aktivovány, se zdály být přístupné bez ověření z VLC Media Player ( toto bylo později potvrzeno The Verge ). Společnost Eufy vydala prohlášení, že ve skutečnosti plně nevysvětlila, jak používá cloudové servery k poskytování mobilních oznámení, a slíbila, že aktualizuje svůj jazyk. Moore se odmlčel poté, co tweetoval o „dlouhé diskusi“ s Yufiho právním týmem.

O několik dní později další bezpečnostní výzkumník potvrdil, že vzhledem k adrese URL na webovém portálu uživatele Eufy by mohla být streamována. Schéma šifrování URL se také nezdálo dostatečně sofistikované; Jak řekl stejný výzkumník Ars, k hrubé síle bylo zapotřebí pouze 65 535 kombinací, „což počítač dokáže poměrně rychle“. Anker později zvýšil počet náhodných znaků potřebných k uhodnutí URL streamů a tvrdil, že znemožnil přehrávačům médií přehrávat streamy uživatele, i když měly URL.

V té době Eufy vydala prohlášení pro The Verge, Ars a další publikace, v němž poznamenala, že „rozhodně“ nesouhlasí s „obviněními vznesenými vůči společnosti ohledně bezpečnosti našich produktů.“ Po pokračujícím tlaku The Verge Anker vydal prohlášení dlouhé prohlášení popisující jeho minulé chyby a plány do budoucna.

Mezi pozoruhodné výroky Anker/Yufie patří: