Eufy d’Anker autorise l’accès à des vidéos non cryptées et prévoit une refonte

Après deux mois de discussions avec les critiques sur le nombre d’aspects de ses caméras de sécurité « sans nuage » accessibles en ligne par les chercheurs en sécurité, la division de la maison intelligente d’Anker, Eufy, a fourni une explication détaillée et promet de faire mieux.

Dans de multiples réponses à The Verge , qui a accusé à plusieurs reprises Eufy de ne pas aborder les aspects clés de son modèle de sécurité, Eufy a explicitement déclaré que les flux vidéo produits par ses caméras peuvent être consultés non cryptés via le portail Web d’Eufy, malgré la messagerie et le marketing qui supposaient que le contraire. Eufy a également déclaré qu’il ferait appel à des testeurs d’intrusion, commanderait un rapport de chercheur indépendant en sécurité, créerait un programme de primes aux bogues et affinerait ses protocoles de sécurité.

Jusqu’à fin novembre 2022, Eufy occupait une place prépondérante parmi les fournisseurs de sécurité pour la maison intelligente. Pour ceux qui souhaitent confier des flux vidéo et d’autres données domestiques à n’importe quelle entreprise, Eufy se présente comme une offre sans cloud ni coût avec des flux cryptés transférés uniquement vers un stockage local.

Puis vint la première des révélations lamentables de Yufi. Le consultant en sécurité et chercheur Paul Moore a interrogé Yufi sur Twitter sur plusieurs incohérences qu’il a trouvées. Les images de sa caméra de sonnette, apparemment étiquetées avec des données de reconnaissance faciale, ont été mises à disposition sur des URL publiques. Les flux de la caméra, lorsqu’ils étaient activés, semblaient être accessibles sans authentification depuis VLC Media Player ( cela a été confirmé plus tard par The Verge ). Eufy a publié une déclaration disant qu’en fait, il n’expliquait pas complètement comment il utilisait des serveurs cloud pour fournir des notifications mobiles et promettait de mettre à jour son langage. Moore est resté silencieux après avoir tweeté à propos d’une « longue discussion » avec l’équipe juridique de Yufi.

Quelques jours plus tard, un autre chercheur en sécurité a confirmé que, étant donné une URL dans le portail Web de l’utilisateur Eufy, elle pouvait être diffusée en continu. Le schéma de cryptage d’URL ne semblait pas non plus assez sophistiqué ; comme l’a dit le même chercheur à Ars, il n’a fallu que 65 535 combinaisons à la force brute, « ce qu’un ordinateur peut faire assez rapidement ». Anker a ensuite augmenté le nombre de caractères aléatoires nécessaires pour deviner les flux d’URL et a affirmé qu’il empêchait les lecteurs multimédias de lire les flux de l’utilisateur même s’ils avaient une URL.

À l’époque, Eufy a publié une déclaration à The Verge, Ars et d’autres publications, notant qu’il était « fortement » en désaccord avec « les allégations portées contre l’entreprise concernant la sécurité de nos produits ». Suite à la pression continue de The Verge, Anker a publié un longue déclaration détaillant ses erreurs passées et ses plans pour l’avenir.

Les déclarations notables d’Anker / Yufie incluent: