eufi
Después de dos meses de discutir con los críticos sobre cómo los investigadores de seguridad podrían acceder en línea a tantos aspectos de sus cámaras de seguridad «Sin nubes», la división de hogares inteligentes de Anker, Eufy, ha proporcionado una larga explicación y promete hacerlo mejor.
En múltiples respuestas a The Verge, que ha criticado repetidamente a Eufy por no abordar aspectos clave de su modelo de seguridad, Eufy ha declarado claramente que se puede acceder a las secuencias de video producidas por sus cámaras, sin cifrar, a través del portal web de Eufy, a pesar de los mensajes y marketing que sugiriera lo contrario. Eufy también declaró que traería probadores de penetración, encargaría el informe de un investigador de seguridad independiente, crearía un programa de recompensas por errores y detallaría mejor sus protocolos de seguridad.
Antes de fines de noviembre de 2022, Eufy había disfrutado de un lugar destacado entre los proveedores de seguridad para el hogar inteligente. Para aquellos dispuestos a confiar en cualquier empresa con transmisiones de video y otros datos domésticos, Eufy se comercializó ofreciendo «Sin nubes ni costos», con transmisiones encriptadas transmitidas solo al almacenamiento local.
Luego vino la primera de las lamentables revelaciones de Eufy. Consultor e investigador de seguridad. Paul Moore preguntó a Eufy en Twitter sobre varias discrepancias que descubrió. Las imágenes de la cámara de su timbre, aparentemente etiquetadas con datos de reconocimiento facial, eran accesibles desde URL públicas. Las imágenes de la cámara, cuando estaban activadas, aparentemente eran accesibles sin autenticación de VLC Media Player (algo confirmado más tarde por The Verge). Eufy emitió un comunicado en el que afirmaba que, esencialmente, no había explicado completamente cómo usaba los servidores en la nube para proporcionar notificaciones móviles y se comprometía a actualizar su lenguaje. Moore guardó silencio después de tuitear sobre «una larga discusión» con el equipo legal de Eufy.
Días después, otro investigador de seguridad confirmó que, dada la URL del portal web de un usuario de Eufy, podría transmitirse. El esquema de cifrado de las URL también parecía carecer de sofisticación; como el mismo investigador le dijo a Ars, solo se necesitaron 65,535 combinaciones para la fuerza bruta, «que una computadora puede ejecutar bastante rápido». Anker luego aumentó la cantidad de caracteres aleatorios necesarios para adivinar las secuencias de URL y dijo que había eliminado la capacidad de los reproductores multimedia para reproducir las secuencias de un usuario, incluso si tenían la URL.
Eufy emitió una declaración a The Verge, Ars y otras publicaciones en ese momento, señalando que «totalmente» no estaba de acuerdo con las «acusaciones formuladas contra la empresa con respecto a la seguridad de nuestros productos». Después de la presión continua de The Verge, Anker emitió una larga declaración detallando sus errores pasados y planes futuros.
Entre las declaraciones notables de Anker/Eufy:
- Su portal web ahora prohíbe a los usuarios ingresar al «modo de depuración».
- El contenido de la transmisión de video está encriptado y es inaccesible fuera del portal.
- Si bien «solo el 0,1 por ciento» de los usuarios diarios actuales acceden al portal, «tuvo algunos problemas», que se han resuelto.
- Eufy está impulsando WebRTC a todos sus dispositivos de seguridad como el protocolo de flujo cifrado de extremo a extremo.
- Las imágenes de reconocimiento facial se cargaron en la nube para ayudar a reemplazar/restablecer/agregar timbres con conjuntos de imágenes existentes, pero se suspendió. No se incluyeron datos de reconocimiento con las imágenes enviadas a la nube.
- Fuera del «problema reciente con el portal web», todos los demás videos usan encriptación de extremo a extremo.
- Un «experto en seguridad líder y conocido» producirá un informe sobre los sistemas de Eufy.
- Se contratarán «varias nuevas empresas de consultoría de seguridad, certificación y pruebas de penetración» para la evaluación de riesgos.
- Se establecerá un «programa de recompensas Eufy Security».
- La compañía promete «brindar actualizaciones más oportunas en nuestra comunidad (¡y a los medios!)».