Ankers Eufy ger åtkomst till okrypterade videor, planerar översyn

Efter två månaders bråk med kritiker om hur många aspekter av dess ”molnfria” säkerhetskameror kan nås online av säkerhetsforskare, har Ankers smarta hemavdelning, Eufy, gett en detaljerad förklaring och lovar att göra det bättre.

I flera svar till The Verge , som upprepade gånger har anklagat Eufy för att inte ta itu med viktiga aspekter av sin säkerhetsmodell, har Eufy uttryckligen sagt att videoströmmar som produceras av dess kameror kan nås okrypterade via Eufys webbportal, trots meddelanden och marknadsföring som antog att motsatt. Eufy sa också att det kommer att ta in penetrationstestare, beställa en oberoende säkerhetsforskarrapport, skapa ett bugg-bounty-program och finjustera sina säkerhetsprotokoll.

Fram till slutet av november 2022 var Eufy framstående bland leverantörer av smarta hemsäkerhetstjänster. För de som är villiga att anförtro videoströmmar och annan hemdata till vilket företag som helst, fakturerar Eufy sig själv som ett No Cloud eller Cost-erbjudande med krypterade strömmar som endast överförs till lokal lagring.

Sedan kom den första av Yufis bedrövliga avslöjanden. Säkerhetskonsulten och forskaren Paul Moore frågade Yufi på Twitter om flera inkonsekvenser han hittat. Bilder från hans dörrklockkamera, till synes taggade med ansiktsigenkänningsdata, gjordes tillgängliga på offentliga webbadresser. Flödena från kameran, när de aktiverades, verkade vara tillgängliga utan autentisering från VLC Media Player ( detta bekräftades senare av The Verge ). Eufy utfärdade ett uttalande som sa att det faktiskt inte helt förklarade hur det använde molnservrar för att tillhandahålla mobilaviseringar och lovade att uppdatera sitt språk. Moore blev tyst efter att ha twittrat om en ”lång diskussion” med Yufis juridiska team.

Några dagar senare bekräftade en annan säkerhetsforskare att, givet en URL inuti Eufy-användarens webbportal, kunde den streamas. URL-krypteringsschemat verkade inte heller tillräckligt sofistikerat; som samma forskare sa till Ars, krävdes det bara 65 535 kombinationer för att brutal force, ”vilket en dator kan göra ganska snabbt.” Anker ökade senare antalet slumpmässiga tecken som behövdes för att gissa URL-strömmar och hävdade att han gjorde det omöjligt för mediaspelare att spela upp användarens streamar även om de hade en URL.

Vid den tiden utfärdade Eufy ett uttalande till The Verge, Ars och andra publikationer, och noterade att det ”starkt” inte håller med om ”anklagelserna mot företaget angående säkerheten för våra produkter.” Efter fortsatta påtryckningar från The Verge släppte Anker en långt uttalande som beskriver hans tidigare misstag och planer för framtiden.

Anmärkningsvärda uttalanden av Anker/Yufie inkluderar: