Skip to content

Riconoscono che le trasmissioni non avevano crittografia

1 de Febbraio de 2023

Anker ci ha mostrato negli ultimi mesi che quando un produttore di telecamere di sicurezza afferma che le registrazioni sono archiviate solo localmente, bisogna stare attenti. L’azienda è stata protagonista di uno degli ultimi scandali in tema di sicurezza domestica. Ed è che diversi utenti hanno affermato essere in grado di vedere le trasmissioni delle tue telecamere di sicurezza Anker Eufy da qualsiasi dispositivo utilizzando un lettore come VLC, ipotizzando un grave problema di sicurezza che interesserebbe tutti gli utenti con questo prodotto.

L’impegno di Anker per l’archiviazione video “solo locale” e la “crittografia end-to-end di livello militare” è svanito rapidamente quando le persone hanno raccolto le notizie. Ora l’azienda ha finalmente ammesso che, in effetti, le loro telecamere di sicurezza non avevano la crittografia end-to-end in modo nativo. Da Xataka Smart Home abbiamo contattato Anker per ulteriori informazioni a riguardo, quindi aggiorneremo non appena conosceremo maggiori dettagli.

Come qualsiasi utente può connettersi alla trasmissione in diretta di una telecamera di sicurezza Eufy

Il medium The Verge ha dato un ultimatum al produttore poco dopo aver appreso che, durante il Ringraziamento negli Stati Uniti, Paul Moore, un consulente per la sicurezza, e un hacker che si fa chiamare Wasabi nelle reti, sono stati in grado di connettersi con un flusso video dalla tua sicurezza Eufy telecamere attraverso un lettore come VLC. Tutto quello che dovevano fare era trasmettere in diretta attraverso i server Eufy e connettersi allo stream tramite un indirizzo univoco. Questo indirizzo potrebbe essere ottenuto entrando nella modalità di debug del browser ed estraendo il collegamento dallo stream. Moore ha pubblicato un video per spiegare il processo in dettaglio.

Questo sarebbe andato un po’ più sotto il radar se Anker non avesse promosso il suo prodotto come un dispositivo che archivia video “localmente” e ha “crittografia end-to-end”. Tuttavia, sembra che ciò che “mancavano” per crittografare erano le trasmissioni in diretta che potrebbe essere tracciato dalla piattaforma eufy se un utente ha effettuato l’accesso con le proprie credenziali (e chiunque altro se avesse l’indirizzo).

Per riassumere il problema, è come caricare un video su YouTube come “nascosto”. In questo modo nessuno saprà che hai caricato un video se non condividi il link, ma il video è effettivamente memorizzato sui server ed è perfettamente visibile se qualcuno ottiene il link al video (senza contare che ci sono siti web che raccolgono video in segreto da YouTube).

Anker si scusa e ha già delle soluzioni

Come accennato da The Verge, la società ha finalmente ammesso che le sue telecamere di sicurezza Eufy non avevano la crittografia end-to-end quando si trattava di fare una trasmissione in direttama la crittografia è avvenuta quando è stato archiviato un video della videocamera.

Il problema sembra già risolto per buona parte dei suoi utenti, visto che secondo Anker, hanno aggiornato le loro telecamere di sicurezza a WebRTC, applicazione che utilizza la crittografia per impostazione predefinita. Tuttavia, come accennato da The Verge, è ancora possibile che queste telecamere possano ancora produrre trasmissioni non crittografate su richiesta. Sotto queste righe ci sono le dichiarazioni di Eric Villines, responsabile globale delle comunicazioni di Anker:

In precedenza, dopo aver effettuato l’accesso al nostro portale Web protetto su eufy.com, un utente registrato poteva entrare in modalità di debug, utilizzare DevTool del browser Web per individuare lo streaming live e quindi riprodurre o condividere quel collegamento con qualcun altro per riprodurlo al di fuori del nostro portale protetto. sistema. Tuttavia, sarebbe spettato all’utente condividere il collegamento e avrebbe dovuto prima accedere al portale Web eufy per ottenere questo collegamento.

Oggi, sulla base del feedback del settore e per prudenza, il portale Web eufy Security impedisce agli utenti di accedere alla modalità di debug e il codice è stato rafforzato e offuscato. Inoltre, il contenuto in streaming è crittografato, il che significa che i flussi non possono più essere riprodotti su lettori multimediali di terze parti come VLC.

L’azienda si è anche scusata per la mancanza di comunicazione e ha promesso di migliorarla modus operandi. Anker ha confermato che sta assumendo società di sicurezza esterne per controllare le pratiche di Eufy. Inoltre, la società è in trattative con un “prominente e noto esperto di sicurezza” per produrre un rapporto indipendente, promettendo inoltre di sviluppare un programma di ricompense per rilevare falle di sicurezza e un sito Web per spiegare in dettaglio come funziona la sua sicurezza.

Conoscere i rapporti delle società di sicurezza esterne aiuterà l’azienda a riconquistare la reputazione che aveva acquisito con i suoi prodotti, dal momento che gli utenti difficilmente si fiderebbero di nuovo da soli.

Immagine di copertina | anker eufy