Yovi Anker erkent toegang tot niet-versleutelde video’s, plannen om plannen op te lossen

Na twee maanden heen en weer ruzie te hebben gemaakt met critici over hoe beveiligingsonderzoekers toegang hadden tot veel aspecten van beveiligingscamera’s “wolkenloos”, bood de smart home-divisie van Anker Eufy een uitgebreide uitleg en beloofde het beter te doen.

in Meerdere reacties op scherpEufy, dat Eufy herhaaldelijk heeft aangeklaagd wegens het niet aanpakken van de belangrijkste aspecten van zijn beveiligingsmodel, heeft duidelijk verklaard dat videostreams die door zijn camera’s worden geproduceerd, ongecodeerd toegankelijk zijn via het Eufy-webportaal, ondanks berichten en marketing die anders suggereerden. Eufy zei ook dat het penetratietesters zou inschakelen, een onafhankelijk beveiligingsonderzoeksrapport zou laten opstellen, een bountyprogramma voor bugs zou opzetten en de beveiligingsprotocollen beter zou beschrijven.

Vóór eind november 2022 had Eufy een niche onder aanbieders van slimme huisbeveiliging. Voor degenen die een bedrijf willen vertrouwen met videofeeds en andere thuisgegevens, heeft Eufy zichzelf op de markt gebracht als “geen wolken of kosten”, met gecodeerde feeds die alleen naar lokale opslag streamen.

Toen kwam hij Eufy’s eerste trieste onthulling. Beveiligingsadviseur en onderzoeker Paul Moore vroeg Eufy op Twitter Over de vele tegenstrijdigheden die hij ontdekte. Afbeeldingen van zijn deurbelcamera, blijkbaar getagd met gezichtsherkenningsgegevens, zijn toegankelijk via openbare URL’s. Het lijkt erop dat de camerafeeds, indien geactiveerd, toegankelijk zijn zonder authenticatie van VLC Media Player (iets later bevestigd door The Verge). Eufy bracht een verklaring uit waarin stond dat het in wezen niet volledig uitlegde hoe het cloudservers gebruikt om mobiele meldingen te leveren en beloofde zijn taal bij te werken. Moore zweeg na een tweet over een “lange discussie” met het juridische team van Eufy.

Dagen later bevestigde een andere beveiligingsonderzoeker dat, gezien de URL vanuit het webportaal van de Eufy-gebruiker, it kan worden gestreamd. Het coderingsschema op URL’s lijkt ook niet ingewikkeld te zijn; Zoals dezelfde onderzoeker tegen Ars zei, waren er slechts 65.535 combinaties van brute kracht nodig, “die een computer vrij snel kan doorlopen”. Anker nam later toe Het aantal willekeurige tekens dat nodig is om URL-streams te raden, maakte het voor mediaspelers onmogelijk om gebruikersstreams af te spelen, zelfs als ze een URL hadden, zei ze.

Eufy gaf destijds een verklaring af aan The Verge, Ars en andere publicaties, waarin stond dat het “sterk” het niet eens was met de “beschuldigingen tegen het bedrijf met betrekking tot de veiligheid van onze producten”. Na aanhoudende druk van The Verge, Anker een uitgebreide verklaring afgelegd Gedetailleerde fouten uit het verleden en toekomstplannen.

Onder de opmerkelijke uitspraken van Anker / Yoffe:

• Het webportaal blokkeert nu de toegang tot de “foutopsporingsmodus” van gebruikers.
• De inhoud van de videostream is versleuteld en is niet toegankelijk buiten de portal.
• Hoewel “slechts 0,1 procent” van de huidige dagelijkse gebruikers toegang heeft tot de portal, heeft deze “enkele problemen gehad” die zijn opgelost.
• Eufy pusht WebRTC naar al zijn beveiligingshardware als een end-to-end gecodeerd streamingprotocol.
• Gezichtsherkenningsafbeeldingen zijn geüpload naar de cloud om deurbellen te vervangen/resetten/toe te voegen met bestaande afbeeldingensets, maar zijn stopgezet. De identificatiegegevens zijn niet inbegrepen bij de foto’s die naar de cloud worden verzonden.
• Afgezien van het “laatste probleem met het webportaal”, gebruiken alle andere video’s end-to-end-codering.
• Een “leidende en erkende beveiligingsexpert” zal een rapport opstellen over Eufy-systemen.
• Er zullen verschillende “nieuwe beveiligingsadvies-, certificerings- en penetratietestbedrijven” worden ingeschakeld om de risico’s te beoordelen.
• Er wordt een “Eufy Security Rewards Program” opgezet.
• Het bedrijf belooft “meer tijdige updates te geven in onze gemeenschap (en media!).”