AnkerのEufyは暗号化されていないビデオへのアクセスを許可、全面見直しを計画

同社の「クラウドレス」セキュリティカメラの多くの側面がセキュリティ研究者によってオンラインでアクセスできるかについて批評家と2か月にわたって議論した後、Ankerのスマートホーム部門であるEufyは詳細な説明を提供し、改善を約束した。

Eufyがセキュリティモデルの重要な側面に対処できていないとして繰り返し非難しているThe Vergeへの複数の返答の中で、Eufyは、メッセージングやマーケティングが暗号化されていないことを前提としているにもかかわらず、カメラによって生成されたビデオストリームはEufyのウェブポータルを通じて暗号化されずにアクセスできると明言した。反対。Eufyはまた、ペネトレーションテスターを導入し、独立したセキュリティ研究者に報告書を委託し、バグ報奨金プログラムを作成し、セキュリティプロトコルを微調整すると述べた。

2022 年 11 月末まで、Eufy はスマート ホーム セキュリティ プロバイダーの中で傑出した存在でした。ビデオ ストリームやその他のホーム データを任意の会社に任せたいと考えているユーザー向けに、Eufy は、暗号化されたストリームがローカル ストレージにのみ転送される、クラウドやコストがかからないサービスとして請求しています。

そして、ユフィの最初の悲惨な暴露が行われた。セキュリティコンサルタントで研究者のポール・ムーア氏は、発見したいくつかの矛盾についてTwitterでユフィ氏に尋ねた。彼のドアホン カメラからの画像は、顔認識データがタグ付けされていると思われ、公開 URL で公開されました。カメラからのフィードは、アクティブ化すると、VLC Media Player からの認証なしでアクセスできるように見えました (これは後に The Verge によって確認されました)。Eufyは声明を発表し、実際にはクラウドサーバーを使用してモバイル通知を提供する方法を十分に説明していないと述べ、言語を更新すると約束した。ムーア氏はユフィ氏の法務チームとの「長い話し合い」についてツイートした後、沈黙した。

数日後、別のセキュリティ研究者は、Eufy ユーザーの Web ポータル内の URL を指定すると、ストリーミングできることを確認しました。URL 暗号化スキームも十分に洗練されていないように見えました。同じ研究者が Ars に語ったところによると、総当たり攻撃には 65,535 通りの組み合わせしか必要とせず、「コンピューターならかなり早く実行できる」という。Anker はその後、 URL ストリームを推測するために必要なランダムな文字の数を増やし、たとえ URL があったとしてもメディア プレーヤーがユーザーのストリームを再生できないようにしたと主張しました。

当時、EufyはThe Verge、Arsおよびその他の出版物に声明を発表し、「当社製品の安全性に関して当社に対して行われた申し立て」に「強く」同意しないと述べた。The Vergeからの継続的な圧力を受けて、Ankerは声明を発表した。彼の過去の失敗と将来の計画を詳しく述べた長い声明。

Anker/Yufie による注目すべき発言には次のようなものがあります。