Ankeri Eufy võimaldab juurdepääsu krüptimata videotele, plaanib kapitaalremonti

Pärast kaks kuud kestnud vaidlusi kriitikutega selle üle, kui paljudele selle pilvevabade turvakaamerate aspektidele turvauurijad veebis juurde pääsevad, on Ankeri nutikate kodude osakond Eufy esitanud üksikasjaliku selgituse ja lubab teha paremini.

Mitmes vastuses The Verge’ile , mis on korduvalt süüdistanud Eufyt oma turvamudeli põhiaspektide käsitlemata jätmises, on Eufy sõnaselgelt teatanud, et tema kaamerate toodetud videovoogudele pääseb Eufy veebiportaali kaudu juurde krüpteerimata, hoolimata sõnumitest ja turundusest, mis eeldasid vastupidine. Eufy ütles ka, et toob sisse läbitungimistestid, tellib sõltumatu turvauurija aruande, loob veaprogrammi ja viimistleb oma turvaprotokolle.

Kuni 2022. aasta novembri lõpuni oli Eufy nutika kodu turvateenuste pakkujate seas silmapaistev. Neile, kes soovivad usaldada videovooge ja muid koduandmeid mis tahes ettevõttele, esitab Eufy end pilvevaba või kuluvaba pakkumisena, kus krüptitud voogusid edastatakse ainult kohalikku salvestusruumi.

Siis tuli Yufi esimene kurb paljastus. Turvakonsultant ja -uurija Paul Moore küsis Yufilt Twitteris mitme leitud vastuolu kohta. Tema uksekellakaamera pildid, mis näiliselt olid märgistatud näotuvastusandmetega, tehti kättesaadavaks avalikel URL-idel. Kaamera kanalid, kui need olid aktiveeritud, tundusid olevat juurdepääsetavad ilma VLC Media Playeri autentimiseta ( seda kinnitas hiljem The Verge ). Eufy avaldas avalduse, milles öeldakse, et tegelikult ei selgitanud ta täielikult, kuidas ta pilveservereid mobiiliteadete edastamiseks kasutas, ja lubas oma keelt värskendada. Moore vaikis pärast säutsumist Yufi juriidilise meeskonnaga peetud “pika arutelu kohta”.

Mõni päev hiljem kinnitas teine ​​turvauurija, et Eufy kasutaja veebiportaalis oleva URL-i alusel saab seda voogesitada. URL-i krüpteerimisskeem ei tundunud samuti piisavalt keerukas; nagu sama teadlane Arsile ütles, kulus toore jõu saavutamiseks vaid 65 535 kombinatsiooni, “mida arvuti suudab üsna kiiresti teha”. Anker suurendas hiljem URL-i voogude äraarvamiseks vajalike juhuslike märkide arvu ja väitis, et muutis meediumipleieritel võimatuks kasutaja voogude esitamise isegi siis, kui neil oli URL.

Sel ajal tegi Eufy avalduse The Verge’ile, Arsile ja teistele väljaannetele, märkides, et ta ei nõustu “tugevalt” “ettevõtte vastu esitatud süüdistustega meie toodete ohutuse kohta”. Pärast The Verge’i jätkuvat survet avaldas Anker pikk avaldus , milles kirjeldatakse üksikasjalikult tema minevikuvigu ja tulevikuplaane.

Ankeri / Yufie tähelepanuväärsed avaldused hõlmavad järgmist: