.
Eufy
Depois de dois meses discutindo com os críticos sobre como tantos aspectos de suas câmeras de segurança “Sem nuvens” podem ser acessados online por pesquisadores de segurança, a divisão de casas inteligentes da Anker, Eufy, forneceu uma longa explicação e promete fazer melhor.
Em várias respostas ao The Verge, que repetidamente criticou a Eufy por não abordar os principais aspectos de seu modelo de segurança, a Eufy afirmou claramente que os fluxos de vídeo produzidos por suas câmeras podem ser acessados, sem criptografia, por meio do portal da Web da Eufy, apesar de mensagens e marketing que sugeria o contrário. A Eufy também afirmou que traria testadores de penetração, encomendaria um relatório de um pesquisador de segurança independente, criaria um programa de recompensas por bugs e detalharia melhor seus protocolos de segurança.
Antes do final de novembro de 2022, a Eufy desfrutava de um lugar de destaque entre os provedores de segurança doméstica inteligente. Para aqueles dispostos a confiar em qualquer empresa com feeds de vídeo e outros dados domésticos, a Eufy se comercializou como oferecendo “sem nuvens ou custos”, com feeds criptografados transmitidos apenas para armazenamento local.
Então veio a primeira das terríveis revelações de Eufy. Consultor e pesquisador de segurança Paul Moore perguntou a Eufy no Twitter sobre várias discrepâncias que ele descobriu. As imagens da câmera de sua campainha, aparentemente marcadas com dados de reconhecimento facial, eram acessíveis a partir de URLs públicos. Os feeds da câmera, quando ativados, eram aparentemente acessíveis sem autenticação do VLC Media Player (algo confirmado posteriormente pelo The Verge). A Eufy emitiu uma declaração afirmando que, essencialmente, não havia explicado completamente como usava servidores em nuvem para fornecer notificações móveis e se comprometeu a atualizar seu idioma. Moore ficou quieto depois de twittar sobre “uma longa discussão” com a equipe jurídica de Eufy.
Dias depois, um outro pesquisador de segurança confirmou que, dado o URL de dentro do portal da web de um usuário Eufy, ele poderia ser transmitido. O esquema de criptografia nas URLs também parecia carecer de sofisticação; como o mesmo pesquisador disse a Ars, foram necessárias apenas 65.535 combinações para a força bruta, “que um computador pode executar rapidamente”. Mais tarde, Anker aumentou o número de caracteres aleatórios necessários para adivinhar os fluxos de URL e disse que havia removido a capacidade dos players de mídia de reproduzir os fluxos de um usuário, mesmo que eles tivessem o URL.
A Eufy emitiu uma declaração para The Verge, Ars e outras publicações na época, observando que discordava “inflexivelmente” das “acusações feitas contra a empresa em relação à segurança de nossos produtos”. Após pressão contínua do The Verge, Anker emitiu uma longa declaração detalhando seus erros passados e planos futuros.
Entre as declarações notáveis de Anker/Eufy:
- Seu portal da web agora proíbe os usuários de entrar no “modo de depuração”.
- O conteúdo do fluxo de vídeo é criptografado e inacessível fora do portal.
- Embora “apenas 0,1 por cento” dos actuais utilizadores diários acedam ao portal, este “teve alguns problemas”, que foram resolvidos.
- A Eufy está empurrando o WebRTC para todos os seus dispositivos de segurança como o protocolo de fluxo criptografado de ponta a ponta.
- As imagens de reconhecimento facial foram carregadas na nuvem para ajudar na substituição/redefinição/adição de campainhas com conjuntos de imagens existentes, mas foram descontinuadas. Nenhum dado de reconhecimento foi incluído nas imagens enviadas para a nuvem.
- Fora o “problema recente com o portal da web”, todos os outros vídeos usam criptografia de ponta a ponta.
- Um “líder e conhecido especialista em segurança” produzirá um relatório sobre os sistemas da Eufy.
- “Várias novas empresas de consultoria de segurança, certificação e testes de penetração” serão trazidas para avaliação de risco.
- Um “programa de recompensas da Eufy Security” será estabelecido.
- A empresa promete “fornecer atualizações mais oportunas em nossa comunidade (e para a mídia!)”.
.
