Anker의 Eufy는 암호화되지 않은 비디오에 대한 액세스를 허용하고 정밀 검사를 계획합니다.

Anker의 스마트 홈 부서인 Eufy는 보안 연구원이 온라인으로 액세스할 수 있는 “클라우드리스” 보안 카메라의 여러 측면에 대해 비평가들과 두 달 동안 논쟁을 벌인 후 자세한 설명을 제공하고 더 잘할 것을 약속했습니다.

Eufy가 보안 모델의 주요 측면을 해결하지 못했다고 반복적으로 비난한 The Verge에 대한 여러 응답에서 Eufy는 카메라에서 생성된 비디오 스트림이 Eufy의 웹 포털을 통해 암호화되지 않은 상태로 액세스될 수 있다고 명시적으로 밝혔 습니다 . 반대. Eufy는 또한 침투 테스터를 영입하고 독립적인 보안 연구원 보고서를 의뢰하며 버그 바운티 프로그램을 만들고 보안 프로토콜을 미세 조정할 것이라고 말했습니다.

2022년 11월 말까지 Eufy는 스마트 홈 보안 제공업체 사이에서 두각을 나타냈습니다. 비디오 스트림 및 기타 홈 데이터를 회사에 맡기려는 사람들을 위해 Eufy는 암호화된 스트림을 로컬 스토리지로만 전송하는 No Cloud or Cost 제품으로 청구합니다.

그런 다음 Yufi의 비참한 계시 중 첫 번째가 왔습니다. 보안 컨설턴트이자 연구원인 Paul Moore는 Twitter에서 Yufi에게 그가 발견한 몇 가지 불일치에 대해 물었습니다. 안면 인식 데이터로 태그가 지정된 것으로 보이는 그의 초인종 카메라 이미지가 공개 URL에서 제공되었습니다. 활성화된 카메라의 피드는 VLC Media Player의 인증 없이 액세스할 수 있는 것으로 나타났습니다( 이는 나중에 The Verge에서 확인됨 ). Eufy는 실제로 클라우드 서버를 사용하여 모바일 알림을 제공하는 방법을 완전히 설명하지 않았으며 언어를 업데이트하겠다고 약속했다는 성명을 발표했습니다. Moore는 Yufi의 법률 팀과의 “긴 토론”에 대해 트윗한 후 침묵했습니다.

며칠 후, 다른 보안 연구원은 Eufy 사용자의 웹 포털 내부에 URL이 있으면 스트리밍할 수 있음을 확인했습니다. URL 암호화 체계도 충분히 정교하지 않은 것 같습니다. 같은 연구원이 Ars에 말했듯이 “컴퓨터가 상당히 빠르게 수행할 수 있는” 무차별 대입에 65,535개의 조합만 필요했습니다. Anker는 나중에 URL 스트림을 추측하는 데 필요한 임의의 문자 수를 늘리고 URL이 있더라도 미디어 플레이어가 사용자의 스트림을 재생하는 것을 불가능하게 만들었다고 주장했습니다.

당시 Eufy는 The Verge, Ars 및 기타 간행물에 성명을 발표하면서 “제품의 안전과 관련하여 회사에 대해 제기된 주장”에 “강력히” 동의하지 않는다는 점을 언급했습니다. The Verge의 지속적인 압력에 따라 Anker 는 그의 과거 실수와 미래에 대한 계획을 자세히 설명하는 긴 진술 .

Anker/Yufie의 주목할만한 진술은 다음과 같습니다.