Anker’s Eufy umożliwia dostęp do niezaszyfrowanych filmów, przegląd planów

Po dwóch miesiącach sporów z krytykami na temat tego, do ilu aspektów jego „bezchmurnych” kamer bezpieczeństwa mogą uzyskać dostęp online badacze bezpieczeństwa, dział inteligentnych domów firmy Anker, Eufy, przedstawił szczegółowe wyjaśnienie i obiecuje poprawę.

W wielu odpowiedziach dla portalu The Verge , który wielokrotnie zarzucał Eufy, że nie uwzględniła kluczowych aspektów swojego modelu bezpieczeństwa, Eufy wyraźnie stwierdziła, że ​​dostęp do strumieni wideo tworzonych przez jej kamery można uzyskać w postaci niezaszyfrowanej za pośrednictwem portalu internetowego Eufy, pomimo wiadomości i działań marketingowych, które zakładały, że naprzeciwko. Eufy powiedział również, że sprowadzi testerów penetracyjnych, zleci niezależny raport badacza bezpieczeństwa, stworzy program nagród za błędy i dopracuje protokoły bezpieczeństwa.

Do końca listopada 2022 roku Eufy wyróżniała się wśród dostawców zabezpieczeń dla inteligentnych domów. Dla tych, którzy chcą powierzyć strumienie wideo i inne domowe dane dowolnej firmie, Eufy rozlicza się jako oferta bez chmury lub bez kosztów z zaszyfrowanymi strumieniami przesyłanymi tylko do lokalnej pamięci masowej.

Potem przyszła pierwsza z ponurych rewelacji Yufiego. Konsultant ds. bezpieczeństwa i badacz Paul Moore zapytał Yufiego na Twitterze o kilka znalezionych niespójności. Obrazy z jego kamery dzwonka do drzwi, pozornie oznaczone danymi rozpoznawania twarzy, zostały udostępnione pod publicznymi adresami URL. Kanały z kamery, po aktywacji, wydawały się być dostępne bez uwierzytelnienia z VLC Media Player ( zostało to później potwierdzone przez The Verge ). Eufy wydało oświadczenie, w którym stwierdziło, że w rzeczywistości nie wyjaśniło w pełni, w jaki sposób wykorzystuje serwery w chmurze do dostarczania powiadomień mobilnych i obiecało zaktualizować swój język. Moore zamilkł po tweetowaniu o „długiej dyskusji” z zespołem prawnym Yufi.

Kilka dni później inny badacz bezpieczeństwa potwierdził, że biorąc pod uwagę adres URL w portalu internetowym użytkownika Eufy, można go przesyłać strumieniowo. Schemat szyfrowania adresów URL również nie wydawał się wystarczająco wyrafinowany; jak powiedział Ars ten sam badacz, brutalna siła wymagała tylko 65 535 kombinacji, „co komputer może zrobić dość szybko”. Anker później zwiększył liczbę losowych znaków potrzebnych do odgadnięcia strumieni adresów URL i twierdził, że uniemożliwił odtwarzaczom multimedialnym odtwarzanie strumieni użytkownika, nawet jeśli miały one adres URL.

W tym czasie Eufy wydał oświadczenie dla The Verge, Ars i innych publikacji, zauważając, że „zdecydowanie” nie zgadza się z „zarzutami wobec firmy dotyczącymi bezpieczeństwa naszych produktów”. długie oświadczenie szczegółowo opisujące jego przeszłe błędy i plany na przyszłość.

Godne uwagi wypowiedzi Ankera / Yufiego obejmują: