Yoffe Yoffe ha reso pubbliche alcune parti della controversia “No Clouds”.

Ingrandire / Il braccio di sicurezza di Eufy ha affrontato pubblicamente alcune delle affermazioni più significative sui sistemi focalizzati localmente dell’azienda, ma coloro che hanno accettato le affermazioni “no cloud” potrebbero non essere così rassicuranti.

ioffe

Eufy, il marchio Anker che posiziona le sue telecamere di sicurezza come prioritarie per “archiviazione locale” e “senza nuvole”, rilasciato una dichiarazione In risposta alle recenti scoperte di ricercatori sulla sicurezza e siti di notizie tecnologiche. Eufy riconosce che potrebbe fare di meglio, ma lascia anche alcuni problemi irrisolti.

In un thread intitolato “Re: Re: recenti rivendicazioni di sicurezza contro eufy Security”, eufy_official scrive a “Security Cutomers and Partners”. Eufy “adotta un nuovo approccio alla sicurezza domestica”, scrive la società, ed è progettato per operare in locale e “dove possibile” per evitare i server cloud. L’acquisizione video, il riconoscimento facciale e la biometria dell’identità sono tutti gestiti sui dispositivi, “non sul cloud”.

Questa ricorrenza arriva dopo che nelle ultime settimane sono state sollevate diverse domande sulle policy cloud di Eufy. Un ricercatore di sicurezza britannico ha scoperto alla fine di ottobre che gli avvisi telefonici inviati da Eufy lo erano Memorizzato su un server cloud e apparentemente non crittografato, con i dati di identificazione facciale inclusi. Un’altra società ha riassunto rapidamente il tempo Due anni di risultati su Eufy Securityche indica trasferimenti di file non crittografati simili.

A quel tempo, Eufy ha riconosciuto di utilizzare i server cloud per archiviare le miniature e che avrebbe migliorato il linguaggio di configurazione in modo che i clienti che desideravano avvisi mobili lo sapessero. La società non ha risposto ad altre affermazioni degli analisti della sicurezza, incluso il fatto che è possibile accedere ai flussi video in diretta tramite VLC Media Player con l’URL corretto, il cui schema di crittografia è probabilmente coercitivo.

READ  Questo ARPG gratuito Diablo Immortal è in realtà abbastanza buono finora

Il giorno dopo, il sito tecnologico The Verge, in collaborazione con un ricercatore, ha confermato che un utente che non ha effettuato l’accesso a un account Eufy può guarda lo streaming della telecamera, Dato l’URL corretto. Ottenere questo URL richiede un numero di serie (codificato in Base64), un timestamp Unix, un token apparentemente non convalidato e un valore esadecimale a quattro cifre.

Eufy ha poi affermato di “essere fortemente in disaccordo con le accuse mosse all’azienda in merito alla sicurezza dei nostri prodotti”. La scorsa settimana, The Verge lo ha riferito La società ha modificato in modo significativo molte delle sue dichiarazioni e “Promesse” dalla sua pagina sulla privacy. ioffe dichiarazione nei suoi forum arrivato ieri sera.

Eufy ha dichiarato che il suo modello di sicurezza “non è mai stato provato e ci aspettiamo sfide lungo il percorso”, ma rimane fedele ai clienti. La società riconosce che “sono state fatte diverse accuse” contro la sua sicurezza e la necessità di una risposta ha frustrato i clienti. Ma la società ha scritto di voler “raccogliere tutti i fatti prima di affrontare pubblicamente queste accuse”.

Le risposte a queste accuse includono Eufy che afferma di utilizzare Amazon Web Services per reindirizzare le notifiche cloud. L’immagine è stata crittografata end-to-end ed eliminata poco dopo l’invio, spiega Eufy, ma l’azienda intende informare meglio gli utenti e adeguare il proprio marketing.

Per quanto riguarda la visione del live streaming, Eufy afferma che “nessun dato utente è stato esposto e i potenziali difetti di sicurezza discussi online sono puramente speculativi”. Ma Eufy aggiunge che ha disabilitato la visualizzazione delle trasmissioni in diretta quando non si è connessi al portale Eufy.

READ  Sega annuncia Yakuza 8, il nuovo gioco Spin-Off di Kazuma Kiryu

Eufy afferma che l’affermazione secondo cui invia dati di riconoscimento facciale al cloud è “errata”. Tutte le operazioni di identità vengono gestite su macchine locali e gli utenti aggiungono volti noti alle proprie macchine tramite una rete locale o connessioni peer-to-peer crittografate, afferma Eufy. Ma Eufy osserva che Video Doorbell Dual utilizzava in precedenza un “server sicuro AWS” per condividere quell’immagine con altre videocamere sul sistema Eufy; Da allora questa funzione è stata disabilitata.

The Verge, che non ha ricevuto risposte ad ulteriori domande sulle pratiche di sicurezza di Eufy a seguito dei suoi risultati, Ha alcune domande di follow-up, e sono degni di nota. Includono il motivo per cui la società nega che la trasmissione possa essere vista in remoto in primo luogo, le politiche della richiesta delle forze dell’ordine e se la società utilizza davvero “ZXSecurity17Cam@” come chiave di crittografia.

Il ricercatore Paul Moore, che ha sollevato alcune delle prime domande sulle pratiche di Eufy, da allora non ha commentato direttamente Eufy Pubblicato su Twitter il 28 novembre che ha avuto una “lunga discussione con l’ufficio legale (Eufy)”. Nel frattempo, Moore ha indagato e ha trovato sistemi di campanelli video “solo domestici”. in modo significativo non locale. Anche uno di loro Sembra copiare la politica sulla privacy di Eufyparola per parola.

Di gran lunga, è molto più sicuro usare un campanello che ti dice che è archiviato nel cloud: le persone che sono abbastanza oneste da dirtelo generalmente usano una crittografia forte”, Moore ha scritto dei suoi sforzi. Alcuni dei clienti più ardenti e attenti alla privacy di Eufy potrebbero trovarsi d’accordo.

READ  L'app Google Dialer introduce i pulsanti Material You

Immagine dell’inserzione di Eufy

We will be happy to hear your thoughts

Leave a reply