Анкер признает проблемы с безопасностью камеры Eufy

Анкер признает проблемы с безопасностью камеры Eufy

24 декабря 2022 г.

Компания Anker подтвердила, что одна из ее камер видеонаблюдения имеет серьезные недостатки в системе безопасности, которые позволяют неавторизованным третьим лицам просматривать прямые трансляции с камер. Он также подтвердил, что отправляет мобильные push-уведомления с лицами людей через облако на пользовательские конечные точки . .

Исследователь в области безопасности Пол Мур недавно обнаружил, что доступ к каналу камеры Eufy Doorbell Dual (принадлежащей Anker) можно получить через Интернет browser, просто зная правильный URL-адрес, пароль не требуется.

Видео с камеры, зашифрованное с помощью AES-128, использует простой ключ, который можно относительно легко взломать, сказал Мур в то время, добавив, что приложение загружает миниатюры в облако, прежде чем отправлять их на мобильные устройства людей. приложений в качестве уведомлений, и что камера загружала данные распознавания лиц в свое облако AWS без шифрования.

Подтверждение отчетов исследователей

Теперь в записи блога под заголовком «Нашим клиентам и партнерам по безопасности eufy» компания обратилась к этим утверждениям, подтвердив некоторые из них, но опровергнув другие.

Что касается доступа к видеопотоку с камеры, исследователь был прав. «Функция просмотра в реальном времени на веб-портале eufy Security имеет уязвимость», — заявила компания, прежде чем добавить, что никакие пользовательские данные не были раскрыты. «Потенциальные недостатки безопасности, обсуждаемые в Интернете, носят спекулятивный характер», — говорится в блоге.

Тем не менее, компания внесла некоторые изменения, теперь позволяя людям просматривать прямые трансляции через Интернет только в том случае, если они вошли на веб-портал eufy.com 3. «Пользователи больше не могут просматривать прямые трансляции (или делиться активными ссылками на эти прямые трансляции с другими) за пределами защищенного веб-портала eufy», — говорится в сообщении.

Anker также подтвердил, что использует облако для отправки пользователям мобильных push-уведомлений. . Хотя компания заявила, что эта функция «соответствует всем отраслевым стандартам», она все же внесла несколько изменений: обновила приложение eufy Security, добавив более подробное объяснение различных вариантов push-уведомлений, и пересмотрела свое Заявление о конфиденциальности на eufy.com 3, которое должно будет опубликовано «позже на этой неделе».

Подробнее

> Эта лучшая камера безопасности бренд может загружать фотографии в облако без вашего ведома

> Как настроить систему видеонаблюдения для дома

> Это лучшие средства для удаления вредоносных программ. варианты на данный момент

"В будущем это станет важной областью для наших маркетинговых и коммуникационных команд и будет добавлено на наш веб-сайт, в политику конфиденциальности и в другие маркетинговые материалы", — поясняется в блоге.

Наконец , он ответил на опасения, что камера отправляет данные распознавания лиц в облако, коротко заявив: «Это неправда».

«Это ключевое отличие eufy Security — все процессы распознавания лиц и биометрии выполняются локально на устройстве пользователя. Эта информация никогда не обрабатывается в облаке».

Компания подверглась резкой критике со стороны исследователей безопасности и средств массовой информации за плохую коммуникацию, которую она также стремилась решить с помощью этого обновления:

“ Двигаясь вперед, нам нужно будет лучше сбалансировать нашу потребность в получении «всех фактов» с нашим обязательством быстрее информировать наших клиентов», — говорится в сообщении.

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE