אופי
Eufy, המותג אנקר שהציב את מצלמות האבטחה שלו בתור עדיפות ל"אחסון מקומי" ו"ללא עננים", יש הוציא הצהרה בתגובה לממצאים האחרונים של חוקרי אבטחה ואתרי חדשות טכנולוגיה. Eufy מודה שזה יכול להשתפר, אבל גם משאיר כמה בעיות ללא מענה.
בשרשור שכותרתו "בעניין: תביעות אבטחה אחרונות נגד eufy Security", כותב "eufy_official" ל"לקוחות האבטחה והשותפים שלו". אופי "נוקטת גישה חדשה לאבטחת הבית", כותבת החברה, שנועדה לפעול באופן מקומי ו"בכל מקום אפשרי" כדי להימנע משרתי ענן. קטעי וידאו, זיהוי פנים וביומטריה של זהות מנוהלים במכשירים - "לא בענן".
חזרה זו מגיעה לאחר שאלה הועלו כמה פעמים בשבועות האחרונים לגבי מדיניות הענן של Eufy. חוקר אבטחה בריטי מצא בסוף אוקטובר שהתרעות טלפוניות שנשלחו מ-Eufy היו מאוחסן בשרת ענן, לכאורה לא מוצפן, עם נתוני זיהוי פנים כלולים. חברה אחרת באותה תקופה סיכמה במהירות שנתיים של ממצאים על אבטחת Eufy, מציין העברות קבצים לא מוצפנות דומות.
באותו זמן, Eufy הודתה בשימוש בשרתי ענן לאחסון תמונות ממוזערות, ושהיא תשפר את שפת ההגדרה שלה כך שלקוחות שרצו התראות לנייד ידעו זאת. החברה לא התייחסה לטענות אחרות של מנתחי אבטחה, לרבות שעשויות להיות שידורי וידאו חיים גישה אליו דרך VLC Media Player עם כתובת ה-URL הנכונה, כזו שסכימת ההצפנה שלה עשויה להיות בכוח גס.
יום אחד לאחר מכן, אתר הטכנולוגיה The Verge, בעבודה עם חוקר, אישר שמשתמש שלא נכנס לחשבון Eufy יכול צפה בזרם של מצלמה, בהינתן כתובת האתר הנכונה. קבלת כתובת האתר הזו דרשה מספר סידורי (מקודד ב-Base64), חותמת זמן של Unix, אסימון שלכאורה לא מאומת וערך hex בן ארבע ספרות.
אופי אמרה אז כי היא "חולקת בתוקף על ההאשמות שהוטלו נגד החברה בנוגע לאבטחת המוצרים שלנו". בשבוע שעבר דיווח The Verge על כך החברה שינתה רבות מהצהרותיה ו"הבטחות" מדף מדיניות הפרטיות שלו. של יופי הצהרה בפורומים שלה הגיע אתמול בלילה.
Eufy מצהירה שמודל האבטחה שלה "מעולם לא נוסה, ואנו מצפים לאתגרים לאורך הדרך", אך היא נותרה מחויבת ללקוחות. בחברה מודים כי "הועלו מספר טענות" נגד אבטחתה, והצורך בתגובה תסכל את הלקוחות. אבל, כותבת החברה, היא רצתה "לאסוף את כל העובדות לפני שתתייחס בפומבי לטענות הללו".
התגובות לטענות אלו כוללות את Eufy שציינה שהיא משתמשת בשירותי האינטרנט של אמזון כדי להעביר הודעות בענן. התמונה מוצפנת מקצה לקצה ונמחקת זמן קצר לאחר השליחה, קובעת Eufy, אך החברה מתכוונת להודיע טוב יותר למשתמשים ולהתאים את השיווק שלה.
לגבי צפייה בעדכונים חיים, Eufy טוענת כי "לא נחשפו נתוני משתמש, ופגמי האבטחה הפוטנציאליים שנדונו באינטרנט הם ספקולטיביים." אבל Eufy מוסיפה שהיא השביתה את הצפייה בשידורים חיים כשלא מחוברת ל- פורטל Eufy.
Eufy מצהירה כי הטענה שהיא שולחת נתוני זיהוי פנים לענן היא "לא נכונה". כל תהליכי הזהות מטופלים על מקומי חומרה, ומשתמשים מוסיפים פרצופים מזוהים למכשירים שלהם דרך רשת מקומית או חיבורים מוצפנים עמית לעמית, Eufy טוען. אבל Eufy מציינת שה-Video Doorbell Dual שלה השתמש בעבר ב"שרת ה-AWS המאובטח שלנו" כדי לשתף את התמונה הזו עם מצלמות אחרות במערכת Eufy; התכונה הזו הושבתה מאז.
The Verge, שלא קיבל תשובות לשאלות נוספות על נוהלי האבטחה של Eufy לאחר ממצאיו, יש כמה שאלות המשך, והם בולטים. הם כוללים מדוע החברה הכחישה שצפייה בזרם מרוחק הייתה אפשרית מלכתחילה, החוק שלו מדיניות בקשות אכיפה, והאם החברה באמת השתמשה ב-"ZXSecurity17Cam@" כהצפנה מַפְתֵחַ.
החוקר פול מור, שהעלה כמה מהשאלות המוקדמות ביותר על שיטותיו של יופי, טרם הגיב ישירות על יופי מאז שהוא פורסם בטוויטר ב-28 בנובמבר שהיה לו "דיון ארוך עם המחלקה המשפטית (של יופי). מור, בינתיים, החלה לחקור מערכות פעמוני וידאו אחרות "מקומיות בלבד" ומצאה אותן במיוחדלא מקומי. אחד מהם אפילו נראה שהעתיק את מדיניות הפרטיות של Eufy, מילה במילה.
"עד כה, זה בטוח יותר להשתמש בפעמון דלת שאומר לך שהוא מאוחסן בענן - כמו אלה הכנים מספיק כדי לומר לך בדרך כלל משתמשים בקריפטו מוצק", מור כתב על מאמציו. כמה מהלקוחות הנלהבים ביותר של Eufy עם חשיבה לפרטיות עשויים למצוא את עצמם מסכימים.
תמונת רישום מאת Eufy
