Anker’s Eufy ļauj piekļūt nešifrētiem videoklipiem, plāno kapitālremontu

Pēc divu mēnešu strīdiem ar kritiķiem par to, cik daudziem tās “bez mākoņu” drošības kameru aspektiem drošības pētnieki var piekļūt tiešsaistē, Anker viedo māju nodaļa Eufy ir sniegusi detalizētu skaidrojumu un sola darīt labāk.

Vairākās atbildēs uz The Verge , kas vairākkārt ir apsūdzējis Eufy par nespēju pievērsties sava drošības modeļa galvenajiem aspektiem, Eufy ir skaidri paziņojis, ka tā kameru radītajām video straumēm var piekļūt nešifrētā veidā, izmantojot Eufy tīmekļa portālu, neskatoties uz ziņojumapmaiņu un mārketingu, kas paredzēja pretī. Eufy arī teica, ka ieviesīs iespiešanās testētājus, pasūtīs neatkarīga drošības pētnieka ziņojumu, izveidos kļūdu atlīdzības programmu un precizēs savus drošības protokolus.

Līdz 2022. gada novembra beigām Eufy bija ievērojams viedo māju drošības pakalpojumu sniedzēju vidū. Tiem, kas vēlas uzticēt video straumes un citus mājas datus jebkuram uzņēmumam, Eufy rēķinās kā bez mākoņa vai maksas piedāvājums ar šifrētām straumēm, kas tiek pārsūtītas tikai uz vietējo krātuvi.

Tad nāca pirmā Jufi bēdīgā atklāsme. Drošības konsultants un pētnieks Pols Mūrs Twitter jautāja Jufi par vairākām viņa konstatētajām neatbilstībām. Viņa durvju zvana kameras attēli, kas šķietami marķēti ar sejas atpazīšanas datiem, tika darīti pieejami publiskajos URL. Kameras plūsmas, kad tās tika aktivizētas, bija pieejamas bez autentifikācijas no VLC Media Player ( to vēlāk apstiprināja The Verge ). Eufy izdeva paziņojumu, kurā teikts, ka patiesībā tas pilnībā nepaskaidroja, kā tas izmantoja mākoņserverus, lai sniegtu mobilos paziņojumus, un solīja atjaunināt savu valodu. Mūrs apklusa pēc tam, kad tviterī bija paziņojis par “ilgu diskusiju” ar Jufi juridisko komandu.

Dažas dienas vēlāk cits drošības pētnieks apstiprināja, ka, ņemot vērā URL Eufy lietotāja tīmekļa portālā, to var straumēt. Arī URL šifrēšanas shēma nešķita pietiekami sarežģīta; kā tas pats pētnieks teica Ars, bija vajadzīgas tikai 65 535 kombinācijas, lai iegūtu brutālu spēku, “ko dators var paveikt diezgan ātri.” Vēlāk Anker palielināja nejaušo rakstzīmju skaitu, kas nepieciešamas, lai uzminētu URL straumes, un apgalvoja, ka viņš neļāva multivides atskaņotājiem atskaņot lietotāja straumes, pat ja tiem ir URL.

Tajā laikā Eufy izdeva paziņojumu The Verge, Ars un citām publikācijām, norādot, ka tas “kategoriski” nepiekrīt “apsūdzībām, kas izvirzītas pret uzņēmumu attiecībā uz mūsu produktu drošību”. Pēc nepārtraukta The Verge spiediena Ankers publicēja ziņojumu . garš paziņojums , kurā sīki izklāstītas viņa pagātnes kļūdas un nākotnes plāni.

Ievērojamie Anker/Yufie paziņojumi ietver: