Yoffe Yoffe ha hecho públicas algunas partes de la controversia de ‘No Clouds’.
Eufy, la marca de Anker que posiciona sus cámaras de seguridad priorizando el “almacenamiento local” y “sin nubes”, emitió una declaración En respuesta a hallazgos recientes de investigadores de seguridad y sitios de noticias tecnológicas. Eufy reconoce que podría hacerlo mejor, pero también deja algunos problemas sin abordar.
En un hilo titulado “Re: Re: reclamos de seguridad recientes contra eufy Security”, eufy_official escribe a “Security Cutomers and Partners”. Eufy “adopta un enfoque nuevo para la seguridad del hogar”, escribe la compañía, y está diseñado para operar en las instalaciones y “donde sea posible” para evitar los servidores en la nube. La captura de video, el reconocimiento facial y la biometría de identidad se administran en dispositivos, “no en la nube”.
Esta recurrencia se produce después de que se hayan planteado preguntas varias veces en las últimas semanas sobre las políticas de nube de Eufy. Un investigador de seguridad británico descubrió a fines de octubre que las alertas telefónicas enviadas desde Eufy eran Almacenado en un servidor en la nube y aparentemente sin cifrar, con datos de identificación facial incluidos. Otra empresa resumió el tiempo rápidamente Resultados de 2 años en Eufy Securitylo que indica transferencias de archivos sin cifrar similares.
En ese momento, Eufy reconoció el uso de servidores en la nube para almacenar miniaturas y que mejoraría su idioma de configuración para que los clientes que querían alertas móviles lo supieran. La compañía no abordó otras afirmaciones de los analistas de seguridad, incluido que se podía acceder a las transmisiones de video en vivo a través de VLC Media Player con la URL correcta, cuyo esquema de cifrado probablemente era coercitivo.
Un día después, el sitio de tecnología The Verge, en colaboración con un investigador, confirmó que un usuario que no haya iniciado sesión en una cuenta de Eufy puede mira la transmisión de la cámara, Dada la URL correcta. Obtener esta URL requiere un número de serie (codificado en Base64), una marca de tiempo de Unix, un token aparentemente no validado y un valor hexadecimal de cuatro dígitos.
Eufy dijo después que “está totalmente en desacuerdo con las acusaciones hechas contra la empresa con respecto a la seguridad de nuestros productos”. La semana pasada, The Verge informó que La compañía ha cambiado significativamente muchas de sus declaraciones. y “Promesas” de su página de Política de Privacidad. ioffe declaración en sus foros llegó anoche.
Eufy ha declarado que su modelo de seguridad “nunca se ha probado y esperamos desafíos en el camino”, pero sigue comprometido con los clientes. La empresa reconoce que “se han hecho varias denuncias” contra su seguridad, y la necesidad de una respuesta ha frustrado a los clientes. Pero la compañía escribió que quería “reunir todos los hechos antes de abordar públicamente estas acusaciones”.
Las respuestas a estas acusaciones incluyen a Eufy afirmando que utiliza los servicios web de Amazon para redirigir las notificaciones en la nube. La imagen se encriptó de extremo a extremo y se eliminó poco después de enviarla, explica Eufy, pero la empresa tiene la intención de notificar mejor a los usuarios y ajustar su marketing.
Con respecto a ver la transmisión en vivo, Eufy afirma que “no se expusieron los datos de los usuarios y las posibles fallas de seguridad discutidas en línea son puramente especulativas”. Pero Eufy agrega que ha deshabilitado la visualización de transmisiones en vivo cuando no está conectado al portal de Eufy.
Eufy dice que la afirmación de que envía datos de reconocimiento facial a la nube es “incorrecta”. Todas las operaciones de identidad se manejan en máquinas locales y los usuarios agregan caras conocidas a sus máquinas a través de una red local o conexiones cifradas de igual a igual, afirma Eufy. Pero Eufy señala que Video Doorbell Dual utilizó anteriormente un “servidor seguro de AWS” para compartir esa imagen con otras cámaras en el sistema Eufy; Desde entonces, esta característica ha sido deshabilitada.
The Verge, que no ha recibido respuestas a más preguntas sobre las prácticas de seguridad de Eufy luego de sus hallazgos, Tiene algunas preguntas de seguimiento., y son dignos de mención. Incluyen por qué la empresa niega que la transmisión se pueda ver de forma remota en primer lugar, las políticas de la solicitud de aplicación de la ley y si la empresa realmente usa “ZXSecurity17Cam@” como clave de cifrado.
El investigador Paul Moore, quien planteó algunas de las primeras preguntas sobre las prácticas de Eufy, no ha comentado directamente sobre Eufy desde Publicado en Twitter el 28 de noviembre que tuvo una “larga discusión con el departamento legal (Eufy)”. Mientras tanto, Moore investigó y encontró sistemas de videoporteros “solo domésticos”. significativamente no local. Incluso uno de ellos Parece que copia la política de privacidad de Eufy.palabra por palabra.
“Por mucho, es mucho más seguro usar un timbre que te diga que está almacenado en la nube; las personas lo suficientemente honestas como para decirte que generalmente usan un cifrado fuerte”, dijo Moore. escribió sobre sus esfuerzos. Algunos de los clientes más apasionados y preocupados por la privacidad de Eufy podrían estar de acuerdo.
Imagen del listado por Eufy
“Alborotador. Amante de la cerveza. Total aficionado al alcohol. Sutilmente encantador adicto a los zombis. Ninja de twitter de toda la vida”.