A novembre, il marchio Eufy di Anker ha fatto scalpore dopo che il consulente per la sicurezza Paul Moore ha scoperto che le telecamere di sicurezza Eufy inviavano dati al cloud, anche quando le impostazioni di caricamento dell’archivio cloud erano disattivate. Inoltre, i flussi delle telecamere Eufy potevano essere guardati dal vivo tramite un’app come VLC, che presentava un evidente problema di sicurezza.
Il fatto che le telecamere Eufy stessero caricando contenuti sul cloud era problematico perché Anker ha ha a lungo pubblicizzato la sicurezza dei suoi dispositivi Eufy, sostenendo che sono dotati di archiviazione solo locale e crittografia end-to-end per coloro che desiderano una soluzione di fotocamera più privata. In seguito a questa debacle, The Verge ha iniziato a cercare di ottenere risposte sulla sicurezza della videocamera Eufy da Anker e Anker ha fornito risposte deliberatamente poco chiare e spesso fuorvianti su come funzionavano le videocamere Eufy.
The Verge è stato finalmente in grado di ottenere risposte da Anker minacciando di pubblicare una storia sulla mancanza di comunicazione dell’azienda, che ha portato ad alcuni chiarimenti su Eufy sicurezza. Le telecamere Eufy non offrono la crittografia end-to-end nativa e in effetti forniscono flussi video non crittografati attraverso il portale web Eufy, anche se Anker afferma che questo è un problema che ora è stato risolto. Da Eufy:
In precedenza, dopo aver effettuato l’accesso al nostro portale Web protetto su eufy.com, un utente registrato poteva accedere alla modalità di debug, utilizzare il DevTool del browser Web per individuare il live streaming e quindi riprodurre o condividere quel collegamento con qualcun altro per giocare al di fuori del nostro sistema sicuro. Tuttavia, quella sarebbe stata la scelta dell’utente di condividere quel collegamento e avrebbe dovuto prima accedere al portale Web eufy per ottenere questo collegamento.
Oggi, sulla base del feedback del settore e di un’abbondanza per cautela, il portale Web eufy Security ora impedisce agli utenti di accedere alla modalità di debug e il codice è stato rafforzato e offuscato. Inoltre, il contenuto del flusso video è crittografato, il che significa che questi flussi video non possono più essere riprodotti su lettori multimediali di terze parti come VLC.
Vorrei notare, tuttavia, che solo lo 0,1% del nostro gli attuali utenti giornalieri utilizzano la funzionalità del portale Web sicuro su eufy.com. La maggior parte dei nostri utenti utilizza l’app eufy Security per visualizzare i live streaming. In ogni caso, il design precedente del nostro portale Web presentava alcuni problemi, che sono stati risolti.
Le richieste di streaming video provenienti dal portale Web Eufy saranno crittografate end-to-end in futuro, così come lo sono con l’app Eufy, che secondo Anker è il modo principale con cui gli utenti Eufy accedono flussi di telecamere. Anker afferma che ogni videocamera Eufy viene aggiornata per utilizzare WebRTC, che è crittografato per impostazione predefinita, e non sarà più possibile riprodurre flussi video Eufy tramite app di terze parti.
Anker era dispiaciuto per la sua mancanza di comunicazione e ha detto che avrebbe fatto meglio in futuro. La società sta coinvolgendo società di sicurezza di terze parti per controllare i prodotti di sicurezza Eufy e sta lavorando a un programma ufficiale di bug bounty. Anker istituirà anche un micro-sito sulla sicurezza a febbraio e fornirà ai clienti maggiori informazioni sui cambiamenti che sono stati implementati.
Per coloro che sono interessati ai dettagli completi di ciò che Eufy ha da dire, The Verge ha pubblicato le sue comunicazioni e-mail complete con i portavoce di Anker.