Anker’s Eufy mahdollistaa pääsyn salaamattomiin videoihin, suunnittelee uudistamista

Kahden kuukauden väittelyn jälkeen kriitikkojen kanssa siitä, kuinka moniin sen ”pilvettömiin” turvakameroihin liittyviin osiin tietoturvatutkijat voivat päästä käsiksi verkossa, Ankerin älykotiosasto Eufy on antanut yksityiskohtaisen selityksen ja lupaa tehdä paremmin.

Useissa vastauksissa The Vergelle , joka on toistuvasti syyttänyt Eufya siitä, että se ei ole käsitellyt sen turvallisuusmallin keskeisiä näkökohtia, Eufy on nimenomaisesti todennut, että sen kameroiden tuottamiin videovirtoihin voidaan päästä salaamattomana Eufyn verkkoportaalin kautta huolimatta viesteistä ja markkinoinnista, jotka olettivat vastapäätä. Eufy sanoi myös tuovansa penetraatiotestaajia, tilaavansa riippumattoman tietoturvatutkijan raportin, luovansa bugipalkkioohjelman ja hienosäätävänsä suojausprotokolliaan.

Marraskuun 2022 loppuun asti Eufy oli näkyvästi älykkään kodin turvatoimien joukossa. Niille, jotka ovat valmiita uskomaan videovirrat ja muut kodin tiedot mille tahansa yritykselle, Eufy laskuttaa itsensä No Cloud- tai Cost -tarjouksena, jossa salatut streamit siirretään vain paikalliseen tallennustilaan.

Sitten tuli ensimmäinen Yufin surullinen paljastus. Tietoturvakonsultti ja -tutkija Paul Moore kysyi Yufilta Twitterissä useista hänen löytämistään epäjohdonmukaisuuksista. Hänen ovikellokameransa kuvat, jotka ilmeisesti oli merkitty kasvojentunnistusdatalla, asetettiin saataville julkisilla URL-osoitteilla. Kun kameran syötteet aktivoitiin, ne näyttivät olevan käytettävissä ilman VLC Media Playerin todennusta ( tämän vahvisti myöhemmin The Verge ). Eufy antoi lausunnon, jonka mukaan se ei itse asiassa täysin selittänyt, kuinka se käytti pilvipalvelimia tarjotakseen mobiiliilmoituksia, ja lupasi päivittää kielensä. Moore vaikeni tviitattuaan ”pitkästä keskustelusta” Yufin lakitiimin kanssa.

Muutamaa päivää myöhemmin toinen tietoturvatutkija vahvisti, että Eufy-käyttäjän verkkoportaalissa olevan URL-osoitteen perusteella sitä voitiin suoratoistaa. URL-salausjärjestelmä ei myöskään vaikuttanut riittävän kehittyneeltä; Kuten sama tutkija kertoi Arsille, raa’an voiman aikaansaamiseen tarvittiin vain 65 535 yhdistelmää, ”mitä tietokone pystyy tekemään melko nopeasti”. Myöhemmin Anker lisäsi URL-virtojen arvaamiseen tarvittavien satunnaisten merkkien määrää ja väitti, että hän teki mediasoittimien mahdottomaksi toistaa käyttäjän streameja, vaikka niillä olisi URL-osoite.

Tuolloin Eufy antoi lausunnon The Vergelle, Arsille ja muille julkaisuille ja huomautti, että se on ”vahvasti” eri mieltä ”yritystä vastaan ​​esitettyjen tuotteidemme turvallisuutta koskevien väitteiden kanssa”. The Vergen jatkuvan painostuksen jälkeen Anker julkaisi tiedonannon . pitkä lausunto , joka kertoo hänen menneisyydestään tehdyistä virheistä ja tulevaisuuden suunnitelmista.

Ankerin/Yufien merkittäviä lausuntoja ovat: