Eufy від Anker надає доступ до незашифрованих відео, планує капітальний ремонт

Після двох місяців суперечок з критиками про те, скільки аспектів його «безхмарних» камер безпеки можуть бути доступні дослідникам безпеки в Інтернеті, підрозділ «розумного дому» компанії Anker, Eufy, надав детальне пояснення та обіцяє працювати краще.

У багатьох відповідях The Verge , який неодноразово звинувачував Eufy у нездатності розглянути ключові аспекти своєї моделі безпеки, Eufy прямо заявив, що доступ до відеопотоків, створених його камерами, можна отримати без шифрування через веб-портал Eufy, незважаючи на повідомлення та маркетинг, які припускали, що протилежність. Eufy також повідомила, що залучить тестувальників проникнення, замовить звіт незалежного дослідника безпеки, створить програму винагороди за помилки та налаштує свої протоколи безпеки.

До кінця листопада 2022 року Eufy займав провідне місце серед постачальників засобів безпеки розумного будинку. Для тих, хто бажає довірити відеопотоки та інші домашні дані будь-якій компанії, Eufy виставляє себе як безкоштовну пропозицію з безкоштовним обслуговуванням із зашифрованими потоками, які передаються лише в локальне сховище.

Потім прийшло перше з сумних одкровень Юфі. Консультант із питань безпеки та дослідник Пол Мур запитав Юфі у Twitter про кілька виявлених невідповідностей. Зображення з його камери дверного дзвінка, начебто позначені даними розпізнавання обличчя, були доступні за загальнодоступними URL-адресами. Після активації канали з камери виявилися доступними без автентифікації за допомогою VLC Media Player ( пізніше це було підтверджено The Verge ). Eufy випустив заяву, в якій говориться, що насправді він не повністю пояснив, як він використовував хмарні сервери для надання мобільних сповіщень, і пообіцяв оновити свою мову. Мур замовк після твіту про «тривалу дискусію» з командою юристів Юфі.

Кілька днів потому інший дослідник безпеки підтвердив, що враховуючи URL-адресу всередині веб-порталу користувача Eufy, його можна транслювати. Схема шифрування URL також здавалася недостатньо складною; Як сказав той самий дослідник Ars, для грубої сили знадобилося лише 65 535 комбінацій, «що комп’ютер може зробити досить швидко». Пізніше Анкер збільшив кількість випадкових символів, необхідних для вгадування URL-потоків, і заявив, що він унеможливив відтворення медіаплеєрами потоків користувача, навіть якщо вони мали URL-адресу.

У той час Eufy виступив із заявою для The Verge, Ars та інших видань, зазначивши, що він «категорично» не погоджується зі «звинуваченнями, висунутими проти компанії щодо безпеки наших продуктів». Після постійного тиску з боку The Verge Anker випустив довга заява з подробицями його минулих помилок і планів на майбутнє.

Серед відомих заяв Анкера/Юфі: