Euphy
No zwee Méint vun Argumenter zréck an zréck mat Kritiker iwwer wéi sou vill Aspekter vu senge “No Clouds” Sécherheetskameraen online vu Sécherheetsfuerscher zougänglech kënne ginn, huet d’Anker Smart Home Divisioun Eufy eng laang Erklärung geliwwert a versprécht besser ze maachen.
A multiple Äntwerten op The Verge, deen den Eufy ëmmer erëm opgeruff huet fir de Schlëssel Aspekter vu sengem Sécherheetsmodell net unzegoen, huet Eufy kloer gesot datt Videostreame produzéiert vu senge Kameraen zougänglech, onverschlësselt, iwwer den Eufy Webportal, trotz Messagerie an Marketing deen anescht virgeschloen huet. Eufy huet och gesot datt et Pénétratiounstester géif bréngen, en onofhängege Sécherheetsfuerscher Bericht opstellen, e Bugs Bounty Programm erstellen, a seng Sécherheetsprotokoller besser detailléiert.
Virun Enn November 2022 hat den Eufy eng ënnerscheeden Plaz ënner Smart Heem Sécherheetsanbieter genoss. Fir déi, déi gewëllt sinn all Firma mat Videofeeds an aner Heemdaten ze vertrauen, huet Eufy sech selwer vermaart als “Keng Wolleken oder Käschten” ze bidden, mat verschlësselte Feeds nëmmen op lokal Späichere gestreamt.
Dunn koumen déi éischt vun Eufy seng schrecklech Offenbarunge. Sécherheetsberoder a Fuerscher De Paul Moore huet den Eufy op Twitter gefrot iwwer verschidde Diskrepanzen déi hien entdeckt huet. Biller vu senger Doorbell Kamera, anscheinend mat Gesiichtserkennungsdaten markéiert, ware vun ëffentlechen URLen zougänglech. Kamerafeeds, wann aktivéiert, ware scheinbar zougänglech ouni Authentifikatioun vum VLC Media Player (eppes méi spéit bestätegt vum The Verge). Eufy huet eng Erklärung erausginn, déi seet datt et am Wesentlechen net komplett erkläert huet wéi et Cloud Server benotzt fir mobil Notifikatiounen ze liwweren an huet verpflicht seng Sprooch ze aktualiséieren. De Moore ass roueg gaang nodeems hien iwwer “eng laang Diskussioun” mam Eufy sengem legale Team getwittert huet.
Deeg méi spéit huet en anere Sécherheetsfuerscher bestätegt datt d’URL vu bannen engem Eufy Benotzer säi Webportal kritt, et kéint gestreamt ginn. D’Verschlësselungsschema op den URLen schéngt och Raffinesséierung ze feelen; wéi déi selwecht Fuerscher gesot Ars, et huet nëmmen 65.535 Kombinatioune fir brute-Kraaft, “wat e Computer kann duerch flott séier lafen.” Anker huet spéider d’Zuel vun zoufälleg Charaktere erhéicht, déi néideg sinn fir URL Streams ze roden a sot datt et d’Fäegkeet vun de Medienspiller ewechgeholl huet fir e Benotzer seng Streams ze spillen, och wa se d’URL hunn.
Eufy huet eng Erklärung un The Verge, Ars, an aner Publikatiounen zu där Zäit erausginn, bemierkt datt et “absolut” net averstan ass mat “Uklo géint d’Firma betreffend d’Sécherheet vun eise Produkter.” Nom weideren Drock vum The Verge huet den Anker eng laang Ausso erausginn, déi seng vergaange Feeler an zukünfteg Pläng detailléiert.
Ënnert dem Anker / Eufy seng bemierkenswäert Aussoen:
- Säi Webportal verbitt elo d’Benotzer de “Debugmodus” anzeginn.
- Video Stream Inhalt ass verschlësselt an onzougänglech ausserhalb vum Portal.
- Wärend “nëmmen 0,1 Prozent” vun den aktuellen deegleche Benotzer op de Portal zougräifen, hat et “e puer Probleemer”, déi geléist goufen.
- Eufy dréckt WebRTC op all seng Sécherheetsapparater als End-to-End verschlësselte Stream Protokoll.
- Gesiichtserkennungsbiller goufen an d’Wollek eropgelueden fir ze hëllefen beim Ersetzen / zrécksetzen / derbäizemaachen vun Dierbellen mat existente Bildsets, awer goufen ofgeschaaft. Keng Unerkennungsdaten goufen mat Biller an d’Wollek geschéckt.
- Ausserhalb vum “rezenten Thema mam Webportal” benotzen all aner Videoen end-to-end Verschlësselung.
- E “féierend a bekannte Sécherheetsexpert” wäert e Bericht iwwer dem Eufy seng Systemer produzéieren.
- “Verschidde nei Sécherheetsberodung, Zertifizéierung, a Pénétratiounstest” Firme wäerte fir Risikobewäertung agefouert ginn.
- E “Eufy Security Bounty Programm” gëtt etabléiert.
- D’Firma versprécht “méi rechtzäiteg Updates an eiser Gemeinschaft (an de Medien!) ze bidden.”