В ноябре бренд Anker Eufy попал в заголовки новостей после того, как специалист по безопасности Пол Мур обнаружил, что камеры безопасности Eufy отправляли данные в облако, даже когда настройки загрузки в облако были отключены. Более того, потоки видео с камер Eufy, предположительно, можно было смотреть в прямом эфире через приложение, такое как VLC, что представляло собой явную проблему безопасности.
Тот факт, что камеры Eufy загружали контент в облако, был проблематичен, поскольку Anker долгое время расхваливал безопасность своих устройств Eufy, утверждая, что они имеют только локальное хранилище и сквозное шифрование для тех, кто хочет более конфиденциальное решение для камер. После этого фиаско The Verge начал пытаться получить ответы о безопасности камер Eufy от Anker, а Anker давал намеренно неясные и часто вводящие в заблуждение ответы о том, как работают камеры Eufy.
The Verge наконец-то смог получить ответы от Anker, пригрозив опубликовать историю об отсутствии коммуникации со стороны компании, что привело к некоторому уточнению относительно безопасности Eufy. Камеры Eufy не предлагают встроенное сквозное шифрование, и они действительно предоставляли незашифрованные видеопотоки через веб-портал Eufy, хотя Anker утверждает, что эта проблема теперь устранена. Из Eufy:
Ранее, после входа на наш защищенный веб-портал по адресу eufy.com, зарегистрированный пользователь мог войти в режим отладки, использовать DevTool веб-браузера, чтобы найти прямую трансляцию, а затем поделиться этой ссылкой с кем-то еще, чтобы воспроизвести ее за пределами нашей безопасной системы. Однако это был бы выбор пользователя поделиться этой ссылкой, и для получения этой ссылки ему пришлось бы сначала войти на веб-портал eufy.
Сегодня, основываясь на отзывах отрасли и из-за чрезмерной осторожности, веб-портал eufy Security теперь запрещает пользователям входить в режим отладки, а код был укреплен и обфусцирован. Кроме того, контент видеопотока зашифрован, что означает, что эти видеопотоки больше нельзя воспроизводить в сторонних медиаплеерах, таких как VLC.
Я должен отметить, однако, что только 0,1 процента наших текущих ежедневных пользователей используют функцию безопасного веб-портала на eufy.com. Большинство наших пользователей используют приложение eufy Security для просмотра прямых трансляций. В любом случае, предыдущая конструкция нашего веб-портала имела некоторые проблемы, которые с тех пор были устранены.
Запросы видеопотоков, исходящие с веб-портала Eufy, будут сквозными зашифрованы в дальнейшем, как и в приложении Eufy, которое, по словам Anker, является основным способом доступа пользователей Eufy к потокам с камер. Anker заявляет, что каждая камера Eufy обновляется для использования WebRTC, который зашифрован по умолчанию, и больше не будет возможным воспроизводить видеопотоки Eufy через сторонние приложения.
Anker выразил сожаление по поводу своего отсутствия коммуникации и заявил, что в будущем будет работать лучше. Компания привлекает сторонние компании по безопасности для аудита продуктов безопасности Eufy и работает над официальной программой вознаграждений за обнаружение ошибок. Anker также создаст микросайт по безопасности в феврале и предоставит клиентам больше информации об реализованных изменениях.
Для тех, кто интересуется полными подробностями того, что Anker хочет сказать, The Verge опубликовал свои полные электронные письма с представителями Anker.
