Eufy da Anker permite acesso a vídeos não criptografados e planeja reformulação

Após dois meses discutindo com os críticos sobre quantos aspectos de suas câmeras de segurança “sem nuvem” podem ser acessados ​​online por pesquisadores de segurança, a divisão de casa inteligente da Anker, Eufy, forneceu uma explicação detalhada e promete fazer melhor.

Em várias respostas ao The Verge , que acusou repetidamente a Eufy de não abordar os principais aspectos de seu modelo de segurança, a Eufy afirmou explicitamente que os fluxos de vídeo produzidos por suas câmeras podem ser acessados ​​sem criptografia por meio do portal da Web da Eufy, apesar de mensagens e marketing que assumiram o oposto. Eufy também disse que vai trazer testadores de penetração, encomendar um relatório de pesquisador de segurança independente, criar um programa de recompensas de bugs e ajustar seus protocolos de segurança.

Até o final de novembro de 2022, a Eufy era destaque entre os provedores de segurança doméstica inteligente. Para aqueles que desejam confiar streams de vídeo e outros dados domésticos a qualquer empresa, o Eufy se autodenomina uma oferta sem nuvem ou custo com streams criptografados transferidos apenas para armazenamento local.

Então veio a primeira das terríveis revelações de Yufi. O consultor de segurança e pesquisador Paul Moore perguntou a Yufi no Twitter sobre várias inconsistências que ele encontrou. As imagens da câmera de sua campainha, aparentemente marcadas com dados de reconhecimento facial, foram disponibilizadas em URLs públicos. Os feeds da câmera, quando ativados, pareciam acessíveis sem autenticação do VLC Media Player ( isso foi posteriormente confirmado pelo The Verge ). A Eufy emitiu um comunicado dizendo que, de fato, não explicou completamente como usou servidores em nuvem para fornecer notificações móveis e prometeu atualizar seu idioma. Moore ficou em silêncio depois de twittar sobre uma “longa discussão” com a equipe jurídica de Yufi.

Alguns dias depois, outro pesquisador de segurança confirmou que, dado um URL dentro do portal do usuário Eufy, ele poderia ser transmitido. O esquema de criptografia de URL também não parecia suficientemente sofisticado; como o mesmo pesquisador disse a Ars, foram necessárias apenas 65.535 combinações para a força bruta, “o que um computador pode fazer com bastante rapidez”. Mais tarde, Anker aumentou o número de caracteres aleatórios necessários para adivinhar os fluxos de URL e afirmou que tornava impossível para os reprodutores de mídia reproduzir os fluxos do usuário, mesmo que tivessem um URL.

Na época, a Eufy emitiu uma declaração para The Verge, Ars e outras publicações, observando que “discorda fortemente” com “as alegações feitas contra a empresa em relação à segurança de nossos produtos”. longa declaração detalhando seus erros passados ​​e planos para o futuro.

Declarações notáveis ​​de Anker/Yufie incluem: