Anker, güvenlik kamerası ürünlerinden birinin, yetkisiz üçüncü tarafların kameranın canlı yayınlarını izlemesine izin veren bazı ciddi güvenlik kusurları olduğunu doğruladı. Ayrıca, bulut aracılığıyla kullanıcı uç noktalarına insanların yüzleriyle mobil push bildirimleri gönderdiğini doğruladı. (yeni sekmede açılır).
Güvenlik araştırmacısı Paul Moore kısa süre önce (Anker’e ait) Eufy Doorbell Dual kameranın beslemesine, şifre gerekmeksizin sadece doğru URL bilinerek bir web tarayıcısı aracılığıyla erişilebildiğini keşfetti.
Moore, AES-128 ile şifrelenen kamera videolarının basit bir anahtar kullandığını ve kolaylıkla kırılabileceğini söyledi ve uygulamanın küçük resimleri insanların mobil uygulamalarına bildirim olarak göndermeden önce buluta yüklediğini ve kamera, yüz tanıma verilerini şifreleme olmadan AWS bulutuna yüklüyordu.
Araştırmacı raporlarını doğrulamak
Şimdi, bir Blog yazısı (yeni sekmede açılır) “Eufy Security Müşterilerimize ve Ortaklarımıza” başlıklı şirket, bu iddiaları ele alarak bazılarını doğrularken bazılarını yalanladı.
Kamera akışına erişmeye gelince, araştırmacı haklıydı. Şirket, “eufy Security’nin Web Portalı Özelliğindeki Canlı Görüntü Özelliği Bir Güvenlik Kusuruna Sahiptir” dedi ve hiçbir kullanıcı verisinin açığa çıkmadığını ekledi. Blog, “Çevrimiçi olarak tartışılan potansiyel güvenlik kusurları spekülatiftir” diyor.
Yine de şirket bazı değişiklikler yaptı ve artık insanların eufy.com 3 Web portalında oturum açmaları halinde web üzerinden canlı yayınları izlemelerine izin veriyor. “Kullanıcılar artık eufy’nin güvenli Web portalı dışında canlı akışları görüntüleyemez (veya bu canlı akışların aktif bağlantılarını başkalarıyla paylaşamaz),” dedi.
Anker, kullanıcılara mobil anlık bildirimler göndermek için bulutu kullandığını da doğruladı. Özelliğin “tüm endüstri standartlarına uygun” olduğunu söylese de birkaç ince ayar yaptı – eufy Security uygulamasını farklı push bildirim seçeneklerinin daha ayrıntılı bir açıklamasıyla güncelledi ve eufy.com 3’teki Gizlilik Bildirimini revize etti; “bu hafta içinde” yayınlanacak.
Blog, “İleride bu, pazarlama ve iletişim ekiplerimiz için önemli bir iyileştirme alanı olacak ve web sitemize, gizlilik politikalarımıza ve diğer pazarlama materyallerimize eklenecek” diye açıklıyor.
Son olarak, kameranın yüz tanıma verilerini buluta gönderdiği endişelerine değinerek kısaca “Bu doğru değil” ifadesini kullandı.
“Bu, eufy Security için önemli bir fark yaratıyor – tüm yüz tanıma ve biyometrik işlemler, kullanıcının cihazında yerel olarak tamamlanıyor. Bu bilgiler asla bulutta işlenmez.”
Şirket, güvenlik araştırmacıları ve medya tarafından zayıf iletişim nedeniyle eleştirildi – bu güncellemeyle de ele almayı amaçladığı bir şey:
Açıklamada, “İleriye dönük olarak, “tüm gerçekleri” öğrenme ihtiyacımız ile müşterilerimizi daha hızlı bilgilendirme yükümlülüğümüz arasında daha iyi bir denge kurmamız gerekecek” denildi.