ioffé
Eufy, la marque Anker qui positionne ses caméras de sécurité comme privilégiant le « stockage local » et le « sans cloud », a publié une déclaration En réponse aux découvertes récentes des chercheurs en sécurité et des sites d’actualités technologiques. Eufy reconnaît qu’il pourrait faire mieux, mais laisse également certains problèmes sans réponse.
Dans un fil de discussion intitulé « Re: Re: récentes réclamations de sécurité contre eufy Security », eufy_official écrit à « Security Cutomers and Partners ». Eufy « adopte une nouvelle approche de la sécurité domestique », écrit la société, et est conçue pour fonctionner sur site et « dans la mesure du possible » pour éviter les serveurs cloud. La capture vidéo, la reconnaissance faciale et la biométrie d’identité sont toutes gérées sur les appareils – « pas le cloud ».
Cette récurrence survient après que des questions ont été soulevées à plusieurs reprises au cours des dernières semaines sur les politiques cloud d’Eufy. Un chercheur britannique en sécurité a découvert fin octobre que les alertes téléphoniques envoyées par Eufy étaient Stocké sur un serveur cloud, et apparemment non crypté, avec des données d’identification faciale incluses. Une autre entreprise a résumé le temps rapidement Deux ans de résultats sur Eufy Securityindiquant des transferts de fichiers non chiffrés similaires.
À l’époque, Eufy a reconnu utiliser des serveurs cloud pour stocker les vignettes et qu’il améliorerait son langage de configuration afin que les clients qui souhaitaient des alertes mobiles le sachent. La société n’a pas répondu aux autres affirmations des analystes de la sécurité, notamment que les flux vidéo en direct sont accessibles via VLC Media Player avec l’URL correcte, dont le schéma de cryptage est probablement coercitif.
Un jour plus tard, le site technologique The Verge, en collaboration avec un chercheur, a confirmé qu’un utilisateur qui n’est pas connecté à un compte Eufy peut regarder le flux de la caméra, Étant donné l’URL correcte. L’obtention de cette URL nécessite un numéro de série (encodé en Base64), un horodatage Unix, un jeton apparemment non validé et une valeur hexadécimale à quatre chiffres.
Eufy a déclaré par la suite qu’il « n’était pas du tout d’accord avec les accusations portées contre l’entreprise concernant la sécurité de nos produits ». La semaine dernière, The Verge a rapporté que La société a considérablement modifié bon nombre de ses déclarations et « Promesses » de sa page Politique de confidentialité. ioffé déclaration dans ses forums arrivé hier soir.
Eufy a déclaré que son modèle de sécurité n’était « jamais essayé, et nous nous attendons à des défis en cours de route », mais il reste engagé envers les clients. La société reconnaît que « plusieurs allégations ont été faites » contre sa sécurité, et la nécessité d’une réponse a frustré les clients. Mais la société a écrit qu’elle souhaitait « rassembler tous les faits avant de répondre publiquement à ces allégations ».
Les réponses à ces allégations incluent Eufy déclarant qu’il utilise Amazon Web Services pour rediriger les notifications cloud. L’image a été cryptée de bout en bout et supprimée peu de temps après son envoi, explique Eufy, mais la société a l’intention de mieux informer les utilisateurs et d’ajuster son marketing.
En ce qui concerne la diffusion en direct, Eufy affirme qu' »aucune donnée utilisateur n’a été exposée et que les failles de sécurité potentielles discutées en ligne sont purement spéculatives ». Mais Eufy ajoute qu’il a désactivé l’affichage des émissions en direct lorsqu’il n’est pas connecté au portail Eufy.
Eufy dit que l’affirmation selon laquelle il envoie des données de reconnaissance faciale au cloud est « incorrecte ». Toutes les opérations d’identité sont gérées sur des machines locales et les utilisateurs ajoutent des visages connus à leurs machines via un réseau local ou des connexions peer-to-peer cryptées, affirme Eufy. Mais Eufy note que la Video Doorbell Dual utilisait auparavant un « serveur sécurisé AWS » pour partager cette image avec d’autres caméras sur le système Eufy ; Cette fonctionnalité a depuis été désactivée.
The Verge, qui n’a pas reçu de réponses à d’autres questions sur les pratiques de sécurité d’Eufy suite à ses conclusions, Il a quelques questions de suivi, et ils sont remarquables. Ils incluent pourquoi l’entreprise nie que l’émission puisse être visionnée à distance en premier lieu, les politiques de la demande d’application de la loi et si l’entreprise utilise réellement « ZXSecurity17Cam@ » comme clé de cryptage.
Le chercheur Paul Moore, qui a soulevé certaines des premières questions sur les pratiques d’Eufy, n’a pas commenté directement Eufy depuis Publié sur Twitter le 28 novembre qu’il a eu une « longue discussion avec le service juridique (Eufy) ». Pendant ce temps, Moore a enquêté et trouvé des systèmes de sonnette vidéo « domestiques uniquement » Significativement pas locale. Même l’un d’eux Il semble copier la politique de confidentialité d’Eufymot par mot.
« De loin, il est beaucoup plus sûr d’utiliser une sonnette qui vous dit qu’elle est stockée dans le cloud – les gens qui sont assez honnêtes pour vous dire utilisent généralement un cryptage fort « , a déclaré Moore. a écrit sur ses efforts. Certains des clients les plus ardents et soucieux de la vie privée d’Eufy pourraient se retrouver d’accord.
Image de l’annonce par Eufy
