После двух месяцев споров с критиками о том, к скольким аспектам его «безоблачных» камер безопасности исследователи безопасности могут получить доступ онлайн, подразделение умного дома Anker, Eufy, предоставило подробное объяснение и обещает работать лучше.
В многочисленных ответах The Verge , которая неоднократно обвиняла Eufy в неспособности решить ключевые аспекты своей модели безопасности, Eufy прямо заявила, что к видеопотокам, создаваемым ее камерами, можно получить незашифрованный доступ через веб-портал Eufy, несмотря на обмен сообщениями и маркетинг, которые предполагали противоположный. Eufy также заявила, что привлечет тестеров на проникновение, закажет отчет независимого исследователя безопасности, создаст программу вознаграждения за обнаружение ошибок и точно настроит свои протоколы безопасности.
До конца ноября 2022 года Eufy занимал видное место среди поставщиков систем безопасности умного дома. Для тех, кто готов доверить видеопотоки и другие домашние данные какой-либо компании, Eufy позиционирует себя как предложение без облака или затрат, при этом зашифрованные потоки передаются только в локальное хранилище.
Затем последовало первое из горестных откровений Юфи. Консультант по безопасности и исследователь Пол Мур спросил Юфи в Твиттере о нескольких обнаруженных им несоответствиях. Изображения с его камеры дверного звонка, по-видимому, помеченные данными распознавания лиц, были доступны по общедоступным URL-адресам. Потоки с камеры при активации оказались доступны без аутентификации из VLC Media Player ( позже это было подтверждено The Verge ). Eufy выступила с заявлением, в котором говорится, что на самом деле она не полностью объяснила, как использовала облачные серверы для предоставления мобильных уведомлений, и пообещала обновить свой язык. Мур замолчал после того, как написал в Твиттере о «длительном обсуждении» с командой юристов Юфи.
Несколько дней спустя другой исследователь безопасности подтвердил, что по URL-адресу на веб-портале пользователя Eufy его можно было транслировать. Схема шифрования URL также казалась недостаточно сложной; как сказал Ars тот же исследователь, для грубой силы потребовалось всего 65 535 комбинаций, «что компьютер может сделать довольно быстро». Позже Анкер увеличил количество случайных символов, необходимых для угадывания потоков URL-адресов, и заявил, что он сделал невозможным воспроизведение медиаплеерами потоков пользователя, даже если у них был URL-адрес.
В то время Eufy выступила с заявлением для The Verge, Ars и других изданий, отметив, что « категорически» не согласна с «обвинениями, выдвинутыми против компании в отношении безопасности наших продуктов». длинное заявление с подробным описанием его прошлых ошибок и планов на будущее.
Известные заявления Анкера / Юфи включают: