„Anker’s Eufy“ suteikia prieigą prie nešifruotų vaizdo įrašų, planuoja kapitalinį remontą

Po dviejų mėnesių ginčų su kritikais dėl to, kiek „be debesų“ saugos kamerų aspektų saugumo tyrinėtojai gali pasiekti internete, „Anker“ išmaniųjų namų padalinys „Eufy“ pateikė išsamų paaiškinimą ir žada padaryti geriau.

Daugelyje atsakymų į „The Verge“ , kuris ne kartą kaltino „Eufy“, kad jis neatsižvelgė į pagrindinius savo saugos modelio aspektus, „Eufy“ aiškiai pareiškė, kad jo kamerų sukurtus vaizdo srautus galima pasiekti nešifruotai per „Eufy“ interneto portalą, nepaisant pranešimų ir rinkodaros, kuri daro prielaidą, kad priešingas. „Eufy“ taip pat teigė, kad įdiegs įsiskverbimo testerius, užsakys nepriklausomo saugumo tyrinėtojo ataskaitą, sukurs klaidų programą ir patikslins savo saugos protokolus.

Iki 2022 m. lapkričio mėn. pabaigos „Eufy“ buvo ryškus tarp išmaniųjų namų apsaugos tiekėjų. Tiems, kurie nori patikėti vaizdo įrašų srautus ir kitus namų duomenis bet kuriai įmonei, „Eufy“ atsiskaito kaip „No Cloud“ arba „Cost“ pasiūlymas su šifruotais srautais, perkeliamais tik į vietinę saugyklą.

Tada atėjo pirmasis apgailėtinas Yufi apreiškimas. Saugumo konsultantas ir tyrėjas Paulas Moore’as paklausė Yufi socialiniame tinkle „Twitter“ apie kelis jo rastus neatitikimus. Vaizdai iš jo durų skambučio kameros, tariamai pažymėti veido atpažinimo duomenimis, buvo prieinami viešaisiais URL. Suaktyvinus kameros kanalus buvo galima pasiekti be VLC Media Player autentifikavimo ( tai vėliau patvirtino The Verge ). „Eufy“ paskelbė pareiškimą, kuriame teigiama, kad iš tikrųjų ji iki galo nepaaiškino, kaip naudojo debesies serverius, kad teiktų mobiliuosius pranešimus, ir pažadėjo atnaujinti kalbą. Moore’as nutilo po to, kai „Twitter“ paskelbė apie „ilgą diskusiją“ su Yufi teisininkų komanda.

Po kelių dienų kitas saugumo tyrinėtojas patvirtino, kad, atsižvelgiant į URL adresą Eufy vartotojo interneto portale, jis gali būti transliuojamas. URL šifravimo schema taip pat neatrodė pakankamai sudėtinga; Kaip sakė tas pats tyrėjas Arsui, prireikė tik 65 535 kombinacijų, kad būtų sukurta brutali jėga, „ką kompiuteris gali padaryti gana greitai“. Vėliau Anker padidino atsitiktinių simbolių skaičių, reikalingą atspėti URL srautus, ir teigė, kad dėl jo medijos leistuvės neįmanoma leisti vartotojo srautų, net jei jie turi URL.

Tuo metu „Eufy“ paskelbė pareiškimą „The Verge“, „Ars“ ir kitiems leidiniams, pažymėdamas, kad „griežtai“ nesutinka su „įmonei pareikštais kaltinimais dėl mūsų produktų saugos“. Po nuolatinio The Verge spaudimo Anker paskelbė ilgas pareiškimas , kuriame išsamiai aprašomos jo praeities klaidos ir ateities planai.

Žymūs Anker / Yufie pareiškimai yra šie: