Euphy
Güvenlik kameralarını “mahalli depolama” ve “Bulut yok” olarak konumlandıran Anker markası Eufy, güvenlik araştırmacıları ve teknoloji haber sitelerinin son bulgularına cevap olarak bir izahat yapmış oldu. Eufy daha iyisini yapabileceğini kabul ediyor fakat hem de bazı mevzuları ele almadan bırakıyor.
“Re: eufy Security’ye karşı son güvenlik iddiaları” başlıklı bir başlıkta “eufy_official”, “Security Cutomers and Partners”a yazıyor. Eufy, “ev güvenliğine yeni bir yaklaşım benimsiyor” diye yazıyor şirket, bulut sunucularından kaçınmak için mahalli olarak ve “mümkün olan her yerde” çalışacak şekilde tasarlandı. Video çekimi, yüz tanıma ve kimlik biyometrisi, “Bulut değil” cihazlarda yönetilir.
Bu yineleme, geçtiğimiz haftalarda Eufy’nin bulut politikaları hakkında birkaç kez sorulan soruların peşinden geldi. Bir İngiliz güvenlik araştırmacısı, Ekim ayının sonlarında, Eufy’den gönderilen telefon ikazlarının, yüz tanımlama verileri dahil, görünüşte şifrelenmemiş bir bulut sunucusunda saklandığını keşfetti. O zamanlar başka bir şirket, benzer şifrelenmemiş dosya aktarımlarına dikkat çekerek, Eufy güvenliğiyle ilgili iki senelik bulguları süratli bir halde özetledi.
O sırada Eufy, ufak resimleri depolamak için bulut sunucularını kullandığını ve mobil uyarı isteyen müşterilerin bunu bilmesi için kurulum dilini iyileştireceğini kabul etti. Şirket, güvenlik analistlerinden gelen, canlı video akışlarına, şifreleme şeması potansiyel olarak kaba kuvvetle uygulanabilecek doğru URL ile VLC Media Player vasıtasıyla erişilebileceği de dahil olmak suretiyle öteki iddiaları ele almadı.
Bigün sonrasında, bir araştırmacıyla çalışan teknoloji sitesi The Verge, bir Eufy hesabına giriş yapmamış bir kullanıcının doğru URL verildiğinde bir kameranın akışını izleyebileceğini doğruladı. Bu URL’yi almak için bir seri numarası (Base64’te kodlanmış), bir Unix vakit damgası, görünüşte doğrulanmamış bir belirteç ve dört basamaklı onaltılık kıymet gerekiyordu.
Eufy sonrasında “ürünlerimizin güvenliğiyle ilgili olarak şirkete yöneltilen suçlamalara kesinlikle katılmadığını” söylemiş oldu. Geçen hafta The Verge, firmanın gizlilik politikası sayfasındaki beyanlarının ve “sözlerinin” çoğunu mühim seviyede değiştirdiğini bildirdi. Eufy’nin kendi forumlarında yapmış olduğu izahat dün gece geldi.
Eufy, güvenlik modelinin “asla denenmediğini ve yol süresince zorluklar beklediğimizi” sadece müşterilere bağlı kalmaya devam ettiğini belirtiyor. Şirket, güvenliğine karşı “birkaç iddiada bulunulduğunu” ve bir yanıta duyulan ihtiyacın müşterileri hayal kırıklığına uğrattığını kabul ediyor. Sadece şirket, “bu iddiaları halka açık bir halde ele almadan ilkin tüm gerçekleri toplamak” istediğini yazıyor.
Bu iddialara verilen yanıtlar, bulut bildirimlerini iletmek için Amazon Web Hizmetlerini kullandığını belirten Eufy’yi içeriyor. Eufy, görüntünün uçtan uca şifrelendiğini ve gönderildikten kısa bir süre sonrasında silindiğini, sadece firmanın kullanıcıları daha iyi bilgilendirmeyi ve pazarlamasını ayarlamayı planladığını belirtiyor.
Eufy, canlı yayınların görüntülenmesiyle ilgili olarak “hiçbir kullanıcı verisinin açığa çıkmadığını ve çevrimiçi olarak tartışılan ihtimaller içinde güvenlik açıklarının spekülatif bulunduğunu” iddia ediyor. Sadece Eufy, bir Eufy portalına giriş yapılmadığında canlı yayınların görüntülenmesini dönem dışı bıraktığını ekliyor.
Eufy, yüz tanıma verilerini buluta gönderilmiş olduğu iddiasının “doğru olmadığını” belirtiyor. Eufy, tüm kimlik işlemlerinin mahalli donanımda gerçekleştirildiğini ve kullananların, mahalli ağ yada eşler arası şifreli bağlantılar yöntemiyle cihazlarına tanınan yüzler eklediğini iddia ediyor. Sadece Eufy, Video Doorbell Dual ürününün daha ilkin bu görüntüyü bir Eufy sistemindeki öteki kameralarla paylaşmak için “güvenli AWS sunucumuzu” kullandığını belirtiyor; bu özellik o zamandan beri dönem dışı bırakıldı.
Bulgularının peşinden Eufy’nin güvenlik uygulamalarıyla ilgili daha çok soruya cevap alamayan Verge’in bazı takip soruları var ve bunlar dikkat çekici. Bunlar, firmanın en başta uzak bir akışı görüntülemenin mümkün bulunduğunu niçin reddettiğini, kolluk kuvvetlerinin talep politikalarını ve firmanın bir şifreleme anahtarı olarak hakikaten “ZXSecurity17Cam@” kullanıp kullanmadığını ihtiva eder.
Eufy’nin uygulamalarıyla ilgili ilk sorulardan bazılarını gündeme getiren araştırmacı Paul Moore, hemen hemen Eufy hakkında direkt yorum yapmadı. 28 Kasım’da Twitter’da gösterildi “(Eufy’nin) hukuk departmanıyla uzun bir görüşme yaptığını” söylemiş oldu. Ayrıca Moore, öteki “yalnızca mahalli” görüntülü kapı zili sistemlerini araştırmaya başladı ve onları buldu. bilhassa mahalli olmayan. Hatta onlardan biri Eufy’nin gizlilik politikasını kopyalıyor gibiydiKelimesi kelimesine.
“Şimdiye kadar, size bunun bulutta depolandığını söyleyen bir kapı zili kullanmak daha güvenli – bu sebeple size söyleyecek kadar dürüst olanlar çoğu zaman sağlam kripto kullanıyor, ” Moore. çabaları hakkında yazdı. Eufy’nin en istekli, mahremiyete ehemmiyet veren müşterilerinden bazıları aynı fikirde olabilir.
Eufy tarafınca listeleme resmi