Anker ha confermato che uno dei suoi prodotti per telecamere di sicurezza presenta gravi difetti di sicurezza che consentono a terze parti non autorizzate di visualizzare i feed in diretta dalla telecamera. Ha inoltre confermato di inviare notifiche push mobili con i volti delle persone tramite il cloud agli endpoint degli utenti (si apre in una nuova scheda).
Il ricercatore di sicurezza Paul Moore ha recentemente scoperto che è possibile accedere al flusso dalla videocamera Eufy Doorbell Dual (di proprietà di Anker) tramite un browser Web semplicemente conoscendo l'URL corretto, senza password.
I video della fotocamera crittografati con AES-128 utilizzano una semplice chiave che può essere violata in modo relativamente semplice, ha detto Moore all'epoca, aggiungendo che l'app carica le miniature sul cloud prima di inviarle alle app mobili come notifiche e che la fotocamera stava caricando il riconoscimento facciale dati al suo cloud AWS in chiaro.
Conferma dei rapporti degli inquirenti
Ora, in un post sul blog (si apre in una nuova scheda) intitolato "Ai nostri clienti eufy e ai partner per la sicurezza", l'azienda ha risposto a queste affermazioni, confermandone alcune ma negandone altre.
Per quanto riguarda l'accesso al feed della telecamera, il ricercatore aveva ragione. "La funzione di visualizzazione live di eufy Security nella sua funzionalità di portale Web presenta una vulnerabilità di sicurezza", ha affermato la società, prima di aggiungere che nessun dato utente è stato esposto. "Le potenziali vulnerabilità della sicurezza discusse online sono speculative", si legge nel post sul blog.
Tuttavia, la società ha apportato alcune modifiche, consentendo ora agli utenti di visualizzare i live streaming sul Web solo se accedono al portale Web eufy.com 3. "Gli utenti non possono più visualizzare i live streaming (o condividere collegamenti attivi a tali live streaming con altri) al di fuori del portale Web sicuro di eufy", ha affermato.
Anker ha anche confermato l'uso del cloud per inviare notifiche mobili agli utenti. Sebbene abbia affermato che la funzionalità "è conforme a tutti gli standard del settore", ha apportato alcune modifiche: ha aggiornato l'app eufy Security con una spiegazione più dettagliata delle diverse opzioni di notifica push e ha rivisto la sua informativa sulla privacy su eufy.com 3 , che dovrebbe essere rilasciato "entro questa settimana".
"Andando avanti, questa sarà un'importante area di miglioramento per i nostri team di marketing e comunicazione e verrà aggiunta al nostro sito Web, alle politiche sulla privacy e ad altri materiali di marketing", spiega il blog.
Infine, ha risposto alle preoccupazioni secondo cui la fotocamera sta inviando dati di riconoscimento facciale al cloud, affermando brevemente "Non è vero".
“Questo è un elemento chiave di differenziazione per eufy Security: tutti i processi di riconoscimento facciale e biometrico vengono eseguiti localmente sul dispositivo dell'utente. Queste informazioni non vengono mai elaborate nel cloud.
La società è stata criticata dai ricercatori di sicurezza e dai media per la mancanza di comunicazione, qualcosa che intendeva affrontare anche con questo aggiornamento:
"Andando avanti, dovremo bilanciare meglio la nostra necessità di ottenere 'tutti i fatti' con il nostro obbligo di tenere informati i nostri clienti più velocemente", ha affermato.