Ankers Eufy giver adgang til ukrypterede videoer, planlægger eftersyn

Efter to måneders skænderi med kritikere om, hvor mange aspekter af dets “skyfri” sikkerhedskameraer, der kan tilgås online af sikkerhedsforskere, har Ankers smart home-afdeling, Eufy, givet en detaljeret forklaring og lover at gøre det bedre.

I flere svar til The Verge , som gentagne gange har beskyldt Eufy for at undlade at adressere nøgleaspekter af sin sikkerhedsmodel, har Eufy eksplicit udtalt, at videostreams produceret af dets kameraer kan tilgås ukrypteret gennem Eufys webportal, på trods af beskeder og markedsføring, der antog modsat. Eufy sagde også, at det vil bringe penetrationstestere ind, bestille en uafhængig sikkerhedsforskerrapport, oprette et bug-bounty-program og finjustere sine sikkerhedsprotokoller.

Indtil slutningen af ​​november 2022 var Eufy fremtrædende blandt udbydere af smart home security. For dem, der er villige til at overlade videostreams og andre hjemmedata til enhver virksomhed, fakturerer Eufy sig selv som et No Cloud- eller Cost-tilbud med krypterede streams, der kun overføres til lokal lagring.

Så kom den første af Yufis sørgelige afsløringer. Sikkerhedskonsulent og forsker Paul Moore spurgte Yufi på Twitter om flere uoverensstemmelser, han fandt. Billeder fra hans dørklokkekamera, tilsyneladende mærket med ansigtsgenkendelsesdata, blev gjort tilgængelige på offentlige webadresser. Feeds fra kameraet, når de blev aktiveret, så ud til at være tilgængelige uden godkendelse fra VLC Media Player ( dette blev senere bekræftet af The Verge ). Eufy udsendte en erklæring, der sagde, at den faktisk ikke fuldt ud forklarede, hvordan den brugte cloud-servere til at levere mobilmeddelelser og lovede at opdatere sit sprog. Moore blev tavs efter at have tweetet om en “lang diskussion” med Yufis juridiske team.

Et par dage senere bekræftede en anden sikkerhedsforsker, at givet en URL inde i Eufy-brugerens webportal, kunne den streames. URL-krypteringsskemaet virkede heller ikke sofistikeret nok; som den samme forsker fortalte Ars, tog det kun 65.535 kombinationer til brute force, “hvilket en computer kan gøre ret hurtigt.” Anker øgede senere antallet af tilfældige tegn, der var nødvendige for at gætte URL-streams og hævdede, at han gjorde det umuligt for medieafspillere at afspille brugerens streams, selvom de havde en URL.

På det tidspunkt udsendte Eufy en erklæring til The Verge, Ars og andre publikationer, og bemærkede, at den “stærkt” er uenig i “beskyldningerne mod virksomheden vedrørende sikkerheden af ​​vores produkter.” Efter fortsat pres fra The Verge udgav Anker en lang erklæring , der beskriver hans tidligere fejl og planer for fremtiden.

Bemærkelsesværdige udtalelser fra Anker/Yufie inkluderer: