Ankers Eufy ermöglicht Zugriff auf unverschlüsselte Videos und plant Überarbeitung

Nachdem Ankers Smart-Home-Abteilung Eufy zwei Monate lang mit Kritikern darüber gestritten hat, auf wie viele Aspekte seiner „wolkenlosen“ Sicherheitskameras Online-Zugriff durch Sicherheitsforscher möglich ist, hat es eine ausführliche Erklärung geliefert und verspricht, es besser zu machen.

In mehreren Antworten auf The Verge , das Eufy wiederholt vorgeworfen hat, wichtige Aspekte seines Sicherheitsmodells nicht berücksichtigt zu haben, hat Eufy ausdrücklich erklärt, dass von seinen Kameras erzeugte Videostreams unverschlüsselt über das Webportal von Eufy abgerufen werden können, obwohl dies durch Messaging und Marketing angenommen wurde Gegenteil. Eufy kündigte außerdem an, Penetrationstester hinzuzuziehen, einen Bericht eines unabhängigen Sicherheitsforschers in Auftrag zu geben, ein Bug-Bounty-Programm zu erstellen und seine Sicherheitsprotokolle zu verfeinern.

Bis Ende November 2022 war Eufy führend unter den Smart-Home-Sicherheitsanbietern. Für diejenigen, die bereit sind, Videostreams und andere Heimdaten einem beliebigen Unternehmen anzuvertrauen, bezeichnet sich Eufy als ein cloud- oder kostenfreies Angebot, bei dem verschlüsselte Streams nur in den lokalen Speicher übertragen werden.

Dann kam die erste von Yufis traurigen Enthüllungen. Der Sicherheitsberater und Forscher Paul Moore fragte Yufi auf Twitter nach mehreren Unstimmigkeiten, die er gefunden hatte. Bilder von seiner Türklingelkamera, offenbar mit Gesichtserkennungsdaten versehen, wurden unter öffentlichen URLs verfügbar gemacht. Die Feeds der Kamera schienen bei Aktivierung ohne Authentifizierung über den VLC Media Player zugänglich zu sein ( dies wurde später von The Verge bestätigt ). Eufy gab eine Erklärung heraus, in der es hieß, dass es tatsächlich nicht vollständig erklärt habe, wie es Cloud-Server zur Bereitstellung mobiler Benachrichtigungen nutzte, und versprach, seine Sprache zu aktualisieren. Moore schwieg, nachdem er über eine „lange Diskussion“ mit Yufis Anwaltsteam getwittert hatte.

Ein paar Tage später bestätigte ein anderer Sicherheitsforscher, dass es mit einer URL im Webportal des Eufy-Benutzers gestreamt werden könne. Auch das URL-Verschlüsselungsschema schien nicht ausgereift genug zu sein; Wie derselbe Forscher gegenüber Ars erklärte, waren für Brute-Force nur 65.535 Kombinationen erforderlich, „was ein Computer ziemlich schnell erledigen kann“. Anker erhöhte später die Anzahl der Zufallszeichen, die zum Erraten von URL-Streams erforderlich waren, und behauptete, er habe es Mediaplayern unmöglich gemacht, die Streams des Benutzers abzuspielen, selbst wenn diese über eine URL verfügten.

Damals gab Eufy gegenüber The Verge, Ars und anderen Publikationen eine Erklärung ab, in der es feststellte, dass es „den gegen das Unternehmen erhobenen Vorwürfen hinsichtlich der Sicherheit unserer Produkte“ „stark“ widerspricht. Nach anhaltendem Druck von The Verge veröffentlichte Anker eine ausführliche Erklärung, in der er seine vergangenen Fehler und Pläne für die Zukunft detailliert beschreibt.

Zu den bemerkenswerten Aussagen von Anker/Yufie gehören: