Anker priznaje da Eufy sigurnosne kamere nisu izvorno šifrirane

Eufy Sigurnost od tada uglavnom šuti otkriveni su sigurnosni propusti u svom sustavu, što je mnoge korisnike razumljivo učinilo nezadovoljnima i mnogi su se počeli pitati mogu li uopće vjerovati sigurnosnim kamerama Eufy. Ali sada se to promijenilo.

Ovaj tjedan Anker Electronics je konačno priznao da, da, sigurnosne kamere Eufy proizvode video streamove za web portal, bez enkripcije, prema The Verge. Anker je Eufyjeva matična tvrtka.

Također:Najbolje sigurnosne kamere

U jesen 2022. uhvaćen je proizvođač uređaja za pametnu kuću učitavanje korisničkih podataka na poslužitelje u oblaku bez pristanka.

Povrh toga, korisnici su tvrdili da bi netko mogao koristiti poveznicu s Eufyjevog web portala za gledanje livestreama kamere pomoću media playera, u ovom slučaju VLC-a.

Anker kaže da to više nije slučaj.

"Danas svi video zapisi (uživo i snimljeni) koji se dijele između uređaja korisnika na web portalu Eufy Security ili aplikaciji Eufy Security koriste end-to-end enkripciju, koja se implementira pomoću AES i RSA algoritmi," rekao je Ankerov globalni voditelj komunikacija, Eric Villines, koji je odgovorio na upite The Vergea nakon što je tvrtka tjednima šutjela u vezi s tim pitanja.

Što se tiče onoga što se prenosi u oblak, Eufy je dao jasna odricanja od odgovornosti na mobilnoj aplikaciji objašnjavajući da se neki podaci moraju prenijeti na poslužitelje u oblaku kada korisnici uključe značajke poput videopregleda za push obavijesti.

S moje točke gledišta, problem nije učitavanje snimaka zaslona u oblak, jer većina pametnih sigurnosnih kamera radi isto. Problem je u tome što je Eufy bio svjestan da se to događa i svejedno naveo kupce da vjeruju suprotno.

Pregled: EufyCam 3 i HomeBase 3: Zašto se još neću riješiti ovih kamera

Otkako se bavi prodajom sigurnosnih kamera i HomeBase, Eufy je također tvrdio da se svi vaši podaci čuvaju potpuno lokalno. Nema potrebe za brigom, sve će biti sigurno i ispravno u ugrađenom pogonu za pohranu vašeg HomeBase-a ili bilo kojem HDD-u ili SSD-u koji mu dodate ako imate Najnovija verzija.

U svojim e-porukama The Vergeu, Anker se ispričao kupcima zbog nedostatka odgovora i izražava predanost boljem radu u budućnosti. Jedan od načina na koji to čini je suradnja s neovisnom tvrtkom za izvođenje sigurnosnih i penetracijskih testiranja u pokušaju revizije Eufyjevog sustava i praksi.

Cilj je "provesti sveobuhvatnu procjenu sigurnosnih rizika naših proizvoda i eliminirati potencijalne rizike", objasnio je Villines.

Tvrtka se također obvezuje osigurati da svi zahtjevi za video stream s Eufyjevog web portala budu end-to-end enkriptiran i ažurira sve Eufy kamere za korištenje WebRTC-a, što HomeBase 3 i EufyCam 3/3C već koristiti. Prema Ankeru, samo oko 0,1% trenutnih dnevnih korisnika koristi web portal.

Ažuriranja firmvera za preostale Eufy kamere počela su izlaziti prošlog tjedna.

Također:Sigurnosni sustav Eufy Edge Hands-on: Najnaprednije sigurnosne kamere dosad?

Korisnici mobilne aplikacije Eufy Security mogu biti sigurni da su njihove snimke i feedovi kamera bili već end-to-end enkriptiran, a to je učinjeno lokalno ili na kameri ili na HomeBase-u, prema Anker.

Web portal Eufy Security, koji od korisnika zahtijeva prijavu prije pristupa, nije izvorno dizajniran s end-to-end enkripcijom, za što Villines priznaje da je trebao biti od početka. To je jedini proces video streaminga koji nije koristio enkripciju.

U budućnosti, tvrtka je postavila nove protokole i procedure za značajke koje bi se mogle razviti u budućnosti, osiguravanje da svi podaci koji idu od korisničkih uređaja do mobilne aplikacije ili web portala Eufy Security moraju koristiti end-to-end šifriranje.

"Postoji nekoliko normalnih procesa koji zahtijevaju korištenje oblaka, kao što su postavljanje računa, push obavijesti, početno postavljanje uređaja, OTA uređaja itd.", rekao je Villines.

Eufy također negira da je ikada poslao podatke za prepoznavanje lica u oblak, ali spominje da je napravljeno ažuriranje za Dvostruko video zvono, koji je jedini koristio AWS poslužitelje u oblaku za slanje inicijalne slike prepoznavanja lica drugim kamerama, ali sada za to koristi LAN/P2P proces. ZDNET još uvijek nije dobio odgovor od Ankera o bilo kojem od ovih problema.

Tvrtka također planira pokrenuti mikrostranicu s informacijama o tome koji se njeni ključni procesi obavljaju lokalno, a koji zahtijevaju korištenje oblaka, te obećava pružiti "pravovremenija ažuriranja u našoj zajednici (i medijima!) kako bi potrošači bili bolje informirani o svim ažuriranjima ovih strategija", pri čemu će jedno od tih ažuriranja stići ranije Veljača.

Dakle, možete li vjerovati Eufy sigurnosnim kamerama?

S vremena na vrijeme čujemo o propustima u kibernetičkoj sigurnosti i curenju podataka iz tvrtki koje su stekle povjerenje korisnika - to nije novost. Svaki put kad se to dogodi čini se da se ljudi s mišljenjima razvrstavaju u tri opće skupine: one koji misle da je sve prenapuhano, one koji ne mogu vjerovati da ljudi nisu više ogorčeni i one koje ostaju neutralne.

Generalno, pokušavam ostati na neutralnom terenu. Pokušavam uzeti loše s dobrim i prepoznati koliko je teško izgraditi potpuno nepropusni sustav i onda ga baciti u uragan i nadati se najboljem. Međutim, tijekom proteklih nekoliko tjedana mijenjao sam se između sva tri položaja.

Imajući broj Eufy uređaji posvuda po mom domu, mislim da tvrtka mora prijeći dug put da ponovno stekne povjerenje potrošača, i iako se ti novi procesi čine obećavajućim, trebat će vremena da se to dogodi.

Što se tiče isprike, Villines je rekao: "Isprika bi trebala dolaziti s više detalja o tome što se dogodilo korektivne korake koje smo poduzeli kako bismo osigurali da se ovo više ne dogodi", i mislim da je to jedna stvar koju svi možemo složiti se.