Eufy di Anker consente l’accesso a video non crittografati, revisione dei piani

Dopo due mesi di discussioni con i critici su quanti aspetti delle sue telecamere di sicurezza “senza nuvole” possono essere accessibili online dai ricercatori di sicurezza, la divisione casa intelligente di Anker, Eufy, ha fornito una spiegazione dettagliata e promette di fare di meglio.

In più risposte a The Verge , che ha ripetutamente accusato Eufy di non aver affrontato aspetti chiave del suo modello di sicurezza, Eufy ha dichiarato esplicitamente che è possibile accedere ai flussi video prodotti dalle sue telecamere in chiaro attraverso il portale web di Eufy, nonostante la messaggistica e il marketing che presumevano il opposto. Eufy ha anche affermato che coinvolgerà tester di penetrazione, commissionerà un rapporto di un ricercatore di sicurezza indipendente, creerà un programma di bug bounty e perfezionerà i suoi protocolli di sicurezza.

Fino alla fine di novembre 2022, Eufy era in primo piano tra i fornitori di sicurezza domestica intelligente. Per coloro che desiderano affidare flussi video e altri dati domestici a qualsiasi azienda, Eufy si autodefinisce come un’offerta senza cloud o costi con flussi crittografati trasferiti solo nell’archiviazione locale.

Poi è arrivata la prima delle dolorose rivelazioni di Yufi. Il consulente per la sicurezza e ricercatore Paul Moore ha chiesto a Yufi su Twitter di diverse incongruenze che ha trovato. Le immagini della sua videocamera del campanello, apparentemente contrassegnate con dati di riconoscimento facciale, sono state rese disponibili agli URL pubblici. I feed dalla telecamera, quando attivati, sembravano essere accessibili senza autenticazione da VLC Media Player ( questo è stato successivamente confermato da The Verge ). Eufy ha rilasciato una dichiarazione affermando che, in realtà, non ha spiegato completamente come ha utilizzato i server cloud per fornire notifiche mobili e ha promesso di aggiornare la sua lingua. Moore è rimasto in silenzio dopo aver twittato una “lunga discussione” con il team legale di Yufi.

Pochi giorni dopo, un altro ricercatore di sicurezza ha confermato che, dato un URL all’interno del portale web dell’utente Eufy, poteva essere trasmesso in streaming. Anche lo schema di crittografia degli URL non sembrava abbastanza sofisticato; come ha detto lo stesso ricercatore ad Ars, ci sono volute solo 65.535 combinazioni alla forza bruta, “cosa che un computer può fare abbastanza velocemente”. Anker in seguito ha aumentato il numero di caratteri casuali necessari per indovinare i flussi di URL e ha affermato di aver reso impossibile per i lettori multimediali riprodurre i flussi dell’utente anche se avevano un URL.

All’epoca, Eufy ha rilasciato una dichiarazione a The Verge, Ars e altre pubblicazioni, osservando che è “fortemente” in disaccordo con “le accuse mosse contro la società in merito alla sicurezza dei nostri prodotti”. A seguito delle continue pressioni di The Verge, Anker ha rilasciato un lunga dichiarazione che descrive in dettaglio i suoi errori passati e i piani per il futuro.

Dichiarazioni degne di nota di Anker/Yufie includono: