Yovi Anker reconoce el acceso a videos sin cifrar, planes para arreglar planes

Después de dos meses de discutir con los críticos sobre cómo los investigadores de seguridad tenían acceso a muchos aspectos de las cámaras de seguridad «sin nubes», la división de hogar inteligente de Anker Eufy ofreció una larga explicación y prometió hacerlo mejor.

en Múltiples respuestas al bordeEufy, que ha criticado repetidamente a Eufy por no abordar aspectos clave de su modelo de seguridad, ha declarado claramente que se puede acceder a las secuencias de video producidas por sus cámaras, sin cifrar, a través del portal web de Eufy, a pesar de los mensajes y el marketing que sugieren lo contrario. Eufy también dijo que traería probadores de penetración, encargaría el informe de un investigador de seguridad independiente, crearía un programa de recompensas por errores y detallaría mejor sus protocolos de seguridad.

Antes de fines de noviembre de 2022, Eufy tenía un nicho entre los proveedores de seguridad para el hogar inteligente. Para aquellos que quieren confiar en una empresa con transmisiones de video y otros datos domésticos, Eufy se ha promocionado como que ofrece «sin nubes ni costos», con transmisión de transmisiones encriptadas solo al almacenamiento local.

Luego vino La primera triste revelación de Eufy. Consultor e investigador de seguridad. Paul Moore preguntó a Eufy en Twitter Sobre las muchas contradicciones que descubrió. Se puede acceder a las imágenes de la cámara de su timbre, aparentemente etiquetadas con datos de reconocimiento facial, desde URL públicas. Parece que se puede acceder a las fuentes de la cámara, cuando está activada, sin autenticación desde VLC Media Player (algo luego confirmado por The Verge). Eufy emitió un comunicado diciendo que, esencialmente, no explicaba completamente cómo usa los servidores en la nube para enviar notificaciones móviles y prometió actualizar su idioma. Moore permaneció en silencio después de tuitear sobre una «larga discusión» con el equipo legal de Eufy.

Días después, otro investigador de seguridad confirmó que, dada la URL del portal web del usuario de Eufy, se puede transmitir. El esquema de codificación de las URL también parece carecer de complejidad; Como el mismo investigador le dijo a Ars, solo se necesitaron 65,535 combinaciones de fuerza bruta, «que una computadora puede ejecutar con bastante rapidez». Anker luego aumentó La cantidad de caracteres aleatorios necesarios para adivinar las secuencias de URL eliminó la capacidad de los reproductores multimedia para reproducir las secuencias de los usuarios, incluso si tenían una URL, dijo.

Eufy emitió una declaración a The Verge, Ars y otras publicaciones en ese momento, afirmando que estaba «muy» en desacuerdo con las «acusaciones hechas contra la empresa con respecto a la seguridad de nuestros productos». Después de la presión sostenida de The Verge, Anker emitió un extenso comunicado Errores pasados ​​detallados y planes futuros.

Entre las declaraciones notables de Anker/Yoffe:

• Su portal web ahora impide que los usuarios ingresen al «modo de depuración».
• El contenido de la transmisión de video está encriptado y no se puede acceder a él fuera del portal.
• Si bien «solo el 0,1 por ciento» de los usuarios diarios actuales acceden al portal, «ha tenido algunos problemas» que se han resuelto.
• Eufy lleva WebRTC a todo su hardware de seguridad como un protocolo de transmisión encriptado de extremo a extremo.
• Las imágenes de reconocimiento facial se cargaron en la nube para ayudar a reemplazar/restablecer/agregar timbres con conjuntos de imágenes existentes, pero se suspendieron. Los datos de identificación no se incluyen con las fotos enviadas a la nube.
• Aparte del «último problema con el portal web», todos los demás videos usan encriptación de extremo a extremo.
• Un «experto en seguridad líder y reconocido» elaborará un informe sobre los sistemas Eufy.
• Se incorporarán varias empresas de «nueva consultoría de seguridad, certificación y pruebas de penetración» para evaluar los riesgos.
• Se establecerá un “Programa Eufy Security Rewards”.
• La compañía se compromete a «proporcionar actualizaciones más oportunas en nuestra comunidad (¡y en los medios!)».