ioffe
Eufy, a marca Anker que posiciona suas câmeras de segurança como priorizando “armazenamento local” e “sem nuvens”, emitiu uma declaração Em resposta a descobertas recentes de pesquisadores de segurança e sites de notícias de tecnologia. Eufy reconhece que poderia fazer melhor, mas também deixa alguns problemas sem solução.
Em um tópico intitulado “Re: Re: reivindicações de segurança recentes contra a segurança eufy”, eufy_official escreve para “Security Cutomers and Partners”. A Eufy “adota uma nova abordagem para a segurança doméstica”, escreve a empresa, e foi projetada para operar no local e “sempre que possível” para evitar servidores em nuvem. A captura de vídeo, o reconhecimento facial e a biometria de identidade são todos gerenciados nos dispositivos — “não na nuvem”.
Essa recorrência ocorre depois que perguntas foram levantadas várias vezes nas últimas semanas sobre as políticas de nuvem da Eufy. Um pesquisador de segurança britânico descobriu no final de outubro que os alertas telefônicos enviados pelo Eufy eram Armazenado em um servidor de nuvem e aparentemente não criptografado, com dados de identificação facial incluídos. Outra empresa resumiu o tempo rapidamente Dois anos de resultados em Eufy Securityindicando transferências de arquivos não criptografados semelhantes.
Na época, Eufy reconheceu o uso de servidores em nuvem para armazenar miniaturas e que isso melhoraria sua linguagem de configuração para que os clientes que desejassem alertas móveis soubessem disso. A empresa não abordou outras reivindicações de analistas de segurança, incluindo que as transmissões de vídeo ao vivo podem ser acessadas por meio do VLC Media Player com o URL correto, cujo esquema de criptografia provavelmente é coercitivo.
Um dia depois, o site de tecnologia The Verge, trabalhando com um pesquisador, confirmou que um usuário que não está logado em uma conta Eufy pode assista ao fluxo da câmera, Dado o URL correto. Obter esse URL requer um número de série (codificado em Base64), um carimbo de data/hora Unix, um token aparentemente não validado e um valor hexadecimal de quatro dígitos.
A Eufy disse depois que “discorda veementemente das acusações feitas contra a empresa sobre a segurança de nossos produtos”. Na semana passada, o The Verge informou que A empresa alterou significativamente muitas de suas declarações e “Promessas” em sua página de Política de Privacidade. ioffe declaração em seus fóruns chegou ontem à noite.
A Eufy afirmou que seu modelo de segurança “nunca foi testado e esperamos desafios ao longo do caminho”, mas continua comprometido com os clientes. A empresa reconhece que “várias alegações foram feitas” contra sua segurança, e a necessidade de uma resposta frustrou os clientes. Mas a empresa escreveu que queria “reunir todos os fatos antes de abordar essas alegações publicamente”.
As respostas a essas alegações incluem a Eufy afirmando que usa o Amazon Web Services para redirecionar as notificações na nuvem. A imagem foi criptografada de ponta a ponta e deletada logo após o envio, explica Eufy, mas a empresa pretende notificar melhor os usuários e ajustar seu marketing.
Sobre assistir à transmissão ao vivo, Eufy afirma que “nenhum dado do usuário foi exposto e as possíveis falhas de segurança discutidas online são puramente especulativas”. Mas Eufy acrescenta que desativou a visualização de transmissões ao vivo quando não está logado no portal Eufy.
A Eufy diz que a alegação de que envia dados de reconhecimento facial para a nuvem é “incorreta”. Todas as operações de identidade são realizadas em máquinas locais e os usuários adicionam rostos conhecidos às suas máquinas por meio de uma rede local ou conexões ponto a ponto criptografadas, afirma Eufy. Mas Eufy observa que o Video Doorbell Dual usou anteriormente um “servidor seguro AWS” para compartilhar essa imagem com outras câmeras no sistema Eufy; Este recurso foi desativado desde então.
The Verge, que não recebeu respostas para mais perguntas sobre as práticas de segurança da Eufy após suas descobertas, Ele tem algumas perguntas de acompanhamento, e eles são dignos de nota. Eles incluem por que a empresa nega que a transmissão possa ser vista remotamente em primeiro lugar, as políticas do pedido de aplicação da lei e se a empresa realmente usa “ZXSecurity17Cam@” como uma chave de criptografia.
O pesquisador Paul Moore, que levantou algumas das primeiras questões sobre as práticas de Eufy, não comentou diretamente sobre Eufy desde Postado no Twitter em 28 de novembro que teve uma “longa discussão com o departamento jurídico (Eufy)”. Enquanto isso, Moore investigou e encontrou sistemas de campainha de vídeo “somente domésticos” significativamente não local. Mesmo um deles Parece copiar a política de privacidade da Eufypalavra por palavra.
“De longe, é muito mais seguro usar uma campainha que informa que ela está armazenada na nuvem – pessoas que são honestas o suficiente para dizer que geralmente usam criptografia forte”, Moore escreveu sobre seus esforços. Alguns dos clientes mais fervorosos e preocupados com a privacidade da Eufy podem acabar concordando.
Listagem de imagem por Eufy
“Empreendedor autônomo. Comunicador. Jogador. Explorador. Praticante de cultura pop.”
More Stories
O Game Master Joel faz um acordo inédito com os jogadores do Helldivers 2: execute o “Martale Gambit” e ele libertará dois planetas pelo preço de um.
AirPlay transforma seu emulador Delta em um console retrô completo
X chama o Google de ‘hackeado’ depois que Elon Musk revela uma farsa, eis o que acontece quando você digita ‘antes: 2023’