Eufy de Anker permite el acceso a videos sin cifrar, revisión de planes

Después de dos meses de discutir con los críticos sobre cuántos aspectos de sus cámaras de seguridad «sin nubes» pueden acceder en línea los investigadores de seguridad, la división de hogar inteligente de Anker, Eufy, ha proporcionado una explicación detallada y promete hacerlo mejor.

En múltiples respuestas a The Verge , que ha acusado repetidamente a Eufy de no abordar aspectos clave de su modelo de seguridad, Eufy ha declarado explícitamente que se puede acceder sin cifrar a las secuencias de video producidas por sus cámaras a través del portal web de Eufy, a pesar de los mensajes y el marketing que asumieron la opuesto. Eufy también dijo que traerá probadores de penetración, encargará un informe de investigador de seguridad independiente, creará un programa de recompensas por errores y ajustará sus protocolos de seguridad.

Hasta finales de noviembre de 2022, Eufy se destacó entre los proveedores de seguridad para el hogar inteligente. Para aquellos dispuestos a confiar transmisiones de video y otros datos domésticos a cualquier empresa, Eufy se anuncia a sí mismo como una oferta sin nube ni costo con transmisiones cifradas transferidas solo al almacenamiento local.

Luego vino la primera de las lamentables revelaciones de Yufi. El consultor de seguridad e investigador Paul Moore le preguntó a Yufi en Twitter sobre varias inconsistencias que encontró. Las imágenes de la cámara de su timbre, aparentemente etiquetadas con datos de reconocimiento facial, se pusieron a disposición en URL públicas. Las transmisiones de la cámara, cuando se activaron, parecían ser accesibles sin autenticación de VLC Media Player ( esto fue confirmado más tarde por The Verge ). Eufy emitió un comunicado diciendo que, de hecho, no explicaba completamente cómo usaba los servidores en la nube para proporcionar notificaciones móviles y prometía actualizar su idioma. Moore guardó silencio después de tuitear sobre una “larga discusión” con el equipo legal de Yufi.

Unos días después, otro investigador de seguridad confirmó que, dada una URL dentro del portal web del usuario de Eufy, podría transmitirse. El esquema de encriptación de URL tampoco parecía lo suficientemente sofisticado; como le dijo el mismo investigador a Ars, solo se necesitaron 65,535 combinaciones para la fuerza bruta, «lo que una computadora puede hacer con bastante rapidez». Más tarde, Anker aumentó la cantidad de caracteres aleatorios necesarios para adivinar las secuencias de URL y afirmó que hizo imposible que los reproductores multimedia reprodujeran las secuencias del usuario, incluso si tenían una URL.

En ese momento, Eufy emitió una declaración a The Verge, Ars y otras publicaciones, señalando que «totalmente» no está de acuerdo con «las acusaciones hechas contra la empresa con respecto a la seguridad de nuestros productos». Tras la presión continua de The Verge, Anker publicó un larga declaración que detalla sus errores pasados ​​y sus planes para el futuro.

Las declaraciones notables de Anker/Yufie incluyen: