Skip to main content

Anker признал, что его заявления о шифровании камеры видеонаблюдения Eufy не соответствуют действительности. Бренд умного дома ранее заявлял, что все видеоматериалы зашифрованы сквозным шифрованием, но теперь признал, что было исключение из этого правила (которое теперь исправлено).

Компания наконец-то признала нарушение конфиденциальности только после того, как The Verge пригрозила опубликовать статью о том, что компания не ответила на ее вопросы…

Дополнение

Уязвимость была впервые обнаружена в декабре прошлого года, когда клиент смог получить доступ к незашифрованным видеопотокам с помощью популярного медиаплеера VLC. Исследователь безопасности подтвердил это и дополнительно доказал, что видеоданные загружались в облако даже тогда, когда пользователь отказывал в разрешении на это.

Просто используя популярный медиаплеер VLC, пользователь мог получить доступ к потоку с камеры, и Пол Мур подтвердил (хотя и не показал, как это работает), что к потокам можно получить доступ без необходимости шифрования или аутентификации. […]

В ветке и сопровождающих видео Мур показывает доказательства того, что камеры Eufy отправляют данные, которые, как говорят, «хранятся локально» в облако, даже если облачное хранилище отключено.

Это последовало за аналогичным инцидентом в 2021 году, когда пользователи могли просматривать прямые и записанные трансляции с камер от совершенно незнакомых людей. Юфи обвинил в этом ошибку и пообещал связаться с «0,001% пользователей».

Владельцу бренда Eufy Анкеру потребовалось почти три недели, чтобы отреагировать на декабрьское дело, прежде чем опубликовать заявление с частичным признанием того, что его заявления о безопасности не соответствуют действительности.

Никакие пользовательские данные не были раскрыты, и потенциальные недостатки безопасности, обсуждаемые в Интернете, носят спекулятивный характер. Тем не менее, мы согласны с тем, что есть некоторые ключевые области для улучшения. Итак, мы сделали [authentication] изменения.

Признание недостатка шифрования камеры видеонаблюдения Eufy

В то время The Verge опубликовал длинный список вопросов, на которые Анкер должен был ответить. Похоже, что издание изо всех сил пыталось получить ответы, поскольку оно получило ответ только в виде угрозы опубликовать статью о неспособности компании решить их.

Сообщается, что Anker наконец-то признался в двух вещах, которые ранее отрицал. Во-первых, его камеры могут передавать незашифрованное видео. Во-вторых, есть одно обстоятельство, при котором они это делают.

В серии электронных писем в The Verge компания Anker наконец признала, что ее камеры безопасности Eufy изначально не зашифрованы сквозным шифрованием — они могут и действительно создавали незашифрованные видеопотоки для веб-портала Eufy, подобные тем, к которым мы обращались со всех концов Соединенных Штатов с помощью обычного медиаплеера.

Теперь у нас также есть объяснение разницы между теорией (и первоначальными заявлениями компании) и реальностью.

Видео, отправленное в сопутствующее приложение для iPhone и Android, действительно использовало сквозное шифрование (E2E), как и утверждалось. Любой, кто перехватил этот поток, не сможет просмотреть видео.

То же самое можно сказать и о записанных кадрах, отправленных в Интернет; это тоже использовало шифрование E2E.

Однако прямые видеопотоки, отправляемые в Интернет, не были ни зашифрованы, ни даже аутентифицированы, а это означает, что потоковые кадры мог просматривать любой, кто получил доступ к ссылке.

Обещания компании

Анкер, кажется, наконец осознал, что ему предстоит проделать большую работу, если кто-то снова захочет ему доверять.

Во-первых, говорится в сообщении, он удаленно обновляет каждую камеру Eufy, чтобы отправлять на веб-портал только зашифрованные кадры.

Во-вторых, он поручает внешним компаниям по обеспечению безопасности проверять свою практику и проводить тестирование на проникновение (где консультанты используют методы взлома, чтобы попытаться получить доступ). Он попросит «известного эксперта по безопасности» написать независимый отчет.

Наконец, будет создана программа вознаграждения за обнаружение ошибок, которая будет стимулировать исследователей безопасности и хакеров находить и сообщать об уязвимостях.

The Verge полностью опубликовала все ответы Анкера.

Обзор

Как гласит старая поговорка, никогда не приписывайте злому умыслу то, что вполне можно объяснить некомпетентностью. Учитывая характер недостатка, я склонен полагать, что компания не лгала и не вводила кого-либо в заблуждение. Скорее, его руководство не смогло понять, что существовала серьезная ошибка просто потому, что она была связана с функцией (просмотр прямых видеотрансляций на видеопортале), которая почти никогда никем не использовалась.

Однако это не оправдание. Случайно или нет, но оно солгало. Когда компания, занимающаяся камерами безопасности, обещает, что все видеоматериалы никогда не покинут камеру без шифрования E2E, она должна быть на 100% уверена, что это утверждение верно. Это просто недостаточно хорошо, чтобы поверить, что это так.

Еще более непростительно продолжать делать неточные заявления после того, как было доказано, что заявления компании ложны. Когда это происходит, вы не продолжаете беспечно повторять одни и те же заверения: вы немедленно проверяете утверждение (что было тривиально), признаете его, а затем исправляете.

То, что Анкер этого не сделал, на мой взгляд, непростительно.