En novembre, la marque Eufy d’Anker a fait la une des journaux après que le consultant en sécurité Paul Moore a découvert que les caméras de sécurité Eufy envoyaient des données vers le cloud, même lorsque les paramètres de téléchargement du stockage dans le cloud étaient désactivés. De plus, les flux de caméras Eufy auraient pu être visionnés en direct via une application comme VLC, qui présentait un problème de sécurité flagrant.
Le fait que les caméras Eufy téléchargeaient du contenu sur le cloud était problématique car Anker a a longtemps vanté la sécurité de ses appareils Eufy, affirmant qu’ils disposent d’un stockage local uniquement et d’un cryptage de bout en bout pour ceux qui veulent une solution de caméra plus privée. Suite à cette débâcle, The Verge a commencé à essayer d’obtenir des réponses sur la sécurité des caméras Eufy d’Anker, et Anker fournissait des réponses délibérément peu claires et souvent trompeuses sur le fonctionnement des caméras Eufy.
The Verge était enfin capable d’obtenir des réponses d’Anker en menaçant de publier un article sur le manque de communication de l’entreprise, ce qui a conduit à des éclaircissements sur Eufy Sécurité. Les caméras Eufy n’offrent pas de cryptage natif de bout en bout, et elles ont en effet fourni des flux vidéo non cryptés via le portail Web Eufy, bien qu’Anker affirme que c’est un problème qui a maintenant été résolu. De Eufy :
Auparavant, après s’être connecté à notre portail Web sécurisé sur eufy.com, un utilisateur enregistré pouvait entrer en mode débogage, utiliser le DevTool du navigateur Web pour localiser le flux en direct, puis lire ou partager ce lien avec quelqu’un d’autre pour jouer en dehors de notre système sécurisé. Cependant, cela aurait été le choix de l’utilisateur de partager ce lien, et il aurait d’abord dû se connecter au portail Web eufy pour obtenir ce lien.
Aujourd’hui, sur la base des commentaires de l’industrie et d’une abondance Attention, le portail eufy Security Web interdit désormais aux utilisateurs d’entrer en mode débogage, et le code a été renforcé et obscurci. De plus, le contenu du flux vidéo est crypté, ce qui signifie que ces flux vidéo ne peuvent plus être lus sur des lecteurs multimédias tiers tels que VLC.
Je dois toutefois noter que seulement 0,1 % de nos les utilisateurs quotidiens actuels utilisent la fonction de portail Web sécurisé sur eufy.com. La plupart de nos utilisateurs utilisent l’application eufy Security pour afficher les flux en direct. Quoi qu’il en soit, la conception précédente de notre portail Web présentait quelques problèmes, qui ont depuis été résolus.
Les demandes de flux vidéo provenant du portail Web Eufy seront cryptées de bout en bout à l’avenir, comme elles le sont avec l’application Eufy, qui, selon Anker, est le principal moyen d’accès des utilisateurs d’Eufy flux de caméra. Anker dit que chaque caméra Eufy est mise à jour pour utiliser WebRTC, qui est crypté par défaut, et il ne sera plus possible de lire les flux vidéo Eufy via des applications tierces.
Anker regrettait son manque de communication et a déclaré qu’il ferait mieux à l’avenir. La société fait appel à des sociétés de sécurité tierces pour auditer les produits de sécurité Eufy et travaille sur un programme officiel de primes de bogues. Anker établira également un micro-site de sécurité en février et fournira aux clients plus d’informations sur les changements qui ont été mis en œuvre.
Pour ceux qui sont intéressés par tous les détails de ce qu’Eufy a à dire, The Verge a publié ses communications par e-mail complètes avec les porte-parole d’Anker.