Компания Anker подтвердила, что в одной из ее камер безопасности были серьезные недостатки в системе безопасности, которые позволяли неавторизованным третьим лицам просматривать прямые трансляции с камер. Он также подтвердил, что отправляет мобильные push-уведомления с лицами людей через облако на конечные точки пользователей. (откроется в новой вкладке).
Исследователь безопасности Пол Мур недавно обнаружил, что доступ к каналу камеры Eufy Doorbell Dual (принадлежащей Anker) можно получить через веб-браузер, просто зная правильный URL-адрес, и пароль не требуется.
Видео с камеры, зашифрованное с помощью AES-128, использует простой ключ, который можно относительно легко взломать, сказал Мур в то время, добавив, что приложение загружало миниатюры в облако, прежде чем отправлять их в мобильные приложения людей в качестве уведомлений, и что камера загружала данные распознавания лиц в свое облако AWS без шифрования.
Подтверждение отчетов исследователей
Теперь, в Сообщение блога (откроется в новой вкладке) под названием «Нашим клиентам и партнерам по безопасности eufy» компания обратилась к этим утверждениям, подтвердив некоторые из них, но опровергнув другие.
Что касается доступа к камере, исследователь был прав. «Функция просмотра в реальном времени на веб-портале eufy Security имеет уязвимость в безопасности», — заявила компания, добавив, что никакие пользовательские данные не были раскрыты. «Потенциальные недостатки безопасности, обсуждаемые в Интернете, носят спекулятивный характер», — говорится в блоге.
Тем не менее, компания внесла некоторые изменения, теперь позволяя людям просматривать прямые трансляции через Интернет только в том случае, если они вошли на веб-портал eufy.com 3. «Пользователи больше не могут просматривать прямые трансляции (или делиться активными ссылками на эти прямые трансляции с другими) за пределами защищенного веб-портала eufy», — говорится в сообщении.
Анкер также подтвердил, что использует облако для отправки пользователям мобильных push-уведомлений. Хотя компания заявила, что эта функция «соответствует всем отраслевым стандартам», она все же внесла несколько изменений: обновила приложение eufy Security, добавив более подробное объяснение различных вариантов push-уведомлений, и пересмотрела свое Заявление о конфиденциальности на eufy.com 3, которое должно быть опубликованы «позже на этой неделе».
«В будущем это станет важной областью улучшений для наших маркетинговых и коммуникационных команд и будет добавлено на наш веб-сайт, в политику конфиденциальности и в другие маркетинговые материалы», — поясняется в блоге.
Наконец, он ответил на опасения, что камера отправляет данные распознавания лиц в облако, коротко заявив: «Это неправда».
«Это ключевое отличие eufy Security — все процессы распознавания лиц и биометрии выполняются локально на устройстве пользователя. Эта информация никогда не обрабатывается в облаке».
Исследователи безопасности и средства массовой информации раскритиковали компанию за плохую коммуникацию — что-то, что она также стремилась решить с помощью этого обновления:
«Двигаясь вперед, нам нужно будет лучше сбалансировать нашу потребность в получении «всех фактов» с нашим обязательством быстрее информировать наших клиентов», — говорится в сообщении.
