Anker’s Eufy geeft toegang tot niet-versleutelde video’s, plannen herzien

Na twee maanden ruzie met critici over hoeveel aspecten van zijn “wolkenloze” beveiligingscamera’s online toegankelijk zijn voor beveiligingsonderzoekers, heeft Anker’s smart home-divisie, Eufy, een gedetailleerde uitleg gegeven en belooft het beter te doen.

In meerdere reacties op The Verge , dat Eufy er herhaaldelijk van heeft beschuldigd de belangrijkste aspecten van zijn beveiligingsmodel niet aan te pakken, heeft Eufy expliciet verklaard dat videostreams die door zijn camera’s worden geproduceerd, ongecodeerd toegankelijk zijn via het webportaal van Eufy, ondanks berichten en marketing die ervan uitgingen dat tegenovergestelde. Eufy zei ook dat het penetratietesters zal inschakelen, een onafhankelijk beveiligingsonderzoeksrapport zal laten opstellen, een bountyprogramma voor bugs zal opzetten en de beveiligingsprotocollen zal verfijnen.

Tot eind november 2022 was Eufy prominent aanwezig onder de aanbieders van slimme huisbeveiliging. Voor degenen die videostreams en andere thuisgegevens aan een bedrijf willen toevertrouwen, factureert Eufy zichzelf als een No Cloud- of Cost-aanbieding met gecodeerde streams die alleen naar lokale opslag worden overgebracht.

Toen kwam de eerste van Yufi’s treurige onthullingen. Beveiligingsadviseur en onderzoeker Paul Moore vroeg Yufi op Twitter naar verschillende inconsistenties die hij vond. Afbeeldingen van zijn deurbelcamera, schijnbaar getagd met gezichtsherkenningsgegevens, werden beschikbaar gesteld op openbare URL’s. De feeds van de camera, indien geactiveerd, leken toegankelijk te zijn zonder authenticatie van VLC Media Player ( dit werd later bevestigd door The Verge ). Eufy gaf een verklaring af waarin stond dat het in feite niet volledig uitlegde hoe het cloudservers gebruikte om mobiele meldingen te verstrekken en beloofde zijn taal bij te werken. Moore zweeg na een tweet over een “lange discussie” met Yufi’s juridische team.

Een paar dagen later bevestigde een andere beveiligingsonderzoeker dat, gegeven een URL in het webportaal van de Eufy-gebruiker, het kon worden gestreamd. Het URL-coderingsschema leek ook niet geavanceerd genoeg; zoals dezelfde onderzoeker tegen Ars zei, waren er slechts 65.535 combinaties nodig om brute kracht te gebruiken, “wat een computer vrij snel kan doen.” Anker verhoogde later het aantal willekeurige tekens dat nodig was om URL-streams te raden en beweerde dat hij het voor mediaspelers onmogelijk had gemaakt om de streams van de gebruiker af te spelen, zelfs als ze een URL hadden.

Destijds gaf Eufy een verklaring af aan The Verge, Ars en andere publicaties, waarin hij opmerkte dat het “sterk” het niet eens was met “de aantijgingen tegen het bedrijf met betrekking tot de veiligheid van onze producten”. Na aanhoudende druk van The Verge bracht Anker een lange verklaring met details over zijn fouten uit het verleden en plannen voor de toekomst.

Opmerkelijke uitspraken van Anker / Yufie zijn onder meer: