▪︎ مجلس نيوز
في الحلقة الأخيرة من “هل ستخبرنا Anker يومًا ما يحدث بالفعل بكاميراتها الأمنية بدلاً من الكذب وتغطية مساراتها” ، أخبرنا كيف يقدم فريق دعم العملاء في Eufy الآن بهدوء بعض الإجابات على الأسئلة التي تطرحها الشركة تجاهله علنًا بشأن أمان الكاميرا المنزلية الذكية.
الآن ، أنكر أخيرًا يأخذ طعنة في تفسير علني ، في منشور مدونة جديد بعنوان “إلى عملائنا وشركائنا في eufy Security.” لسوء الحظ ، لا يحتوي على أي اعتذار ، ولا يبدأ في معالجة سبب تمكن أي شخص من مشاهدة تدفق غير مشفر في VLC Media Player على الجانب الآخر من البلد ، من مشغل محلي يُفترض دائمًا ، ومن طرف إلى طرف. – كاميرا مشفرة.
ما تحتويه هو قبول واضح: “ميزة العرض المباشر لـ eufy Security في ميزة Web-Portal بها خلل أمني ،” تعترف الشركة بأحرف غامقة.
لكن هذا كل ما يجب أن يقوله أنكر عن هذه المسألة المشبوهة للغاية:
أمان eufy ميزة العرض المباشر الخاصة بـ Live View في ميزة Web-Portal الخاصة بها بها خلل أمني
أولاً ، لم يتم الكشف عن أي بيانات للمستخدم ، والعيوب الأمنية المحتملة التي تمت مناقشتها عبر الإنترنت هي مجرد تخمينات. ومع ذلك ، فإننا نتفق على وجود بعض المجالات الرئيسية للتحسين. لذلك قمنا بإجراء التغييرات التالية.
اليوم ، لا يزال بإمكان المستخدمين تسجيل الدخول إلى بوابة الويب eufy.com لعرض البث المباشر لكاميراتهم. ومع ذلك ، لم يعد بإمكان المستخدمين عرض التدفقات المباشرة (أو مشاركة الروابط النشطة لهذه التدفقات المباشرة مع الآخرين) خارج بوابة الويب الآمنة لـ eufy. يجب على أي شخص يرغب في عرض هذه الروابط تسجيل الدخول أولاً إلى بوابة الويب eufy.com.
سنواصل البحث عن طرق لتحسين هذه الميزة.
بينما لم تصل إلى حد الاعتذار ، تقر الشركة بأننا “نعلم أن الحاجة إلى اتصالات أكثر وضوحًا وفي الوقت المناسب بشأن هذه المشكلات قد أحبطت العديد من العملاء” ، وتقول إنها ظلت صامتة لأنها “استخدمت الأسابيع القليلة الماضية للبحث في هذه الأمور التهديدات المحتملة وجمع كل الحقائق قبل معالجة هذه الادعاءات علنًا “.
“للمضي قدمًا ، سنحتاج إلى تحقيق توازن أفضل بين حاجتنا للحصول على” جميع الحقائق “مع التزامنا بإبقاء عملائنا على اطلاع بشكل أسرع ، كما يعد Anker.
يعالج المنشور أيضًا بعض المخاوف الأخرى التي أثارها الباحثون الأمنيون ، مثل كيفية قيام Eufy بتحميل الصور المصغرة من كاميراتها ، بما في ذلك صور الوجوه ، إلى السحابة دون إعلام المستخدمين ، حتى يتمكن من تقديم إشعارات الدفع. يقول Anker إن هذه الصور محمية بالتشفير من طرف إلى طرف ، وتكرر أنها تجعل العملاء يدركون الآن أن لديهم خيارًا من إشعارات الدفع المحلية أو السحابية في إصدار محدث من التطبيق. حسن!
فيما يلي قائمة بالأسئلة التي لا تزال بحاجة إلى إجابة. أنا أرسلهم إلى Anker / Eufy اليوم:
لماذا تنتج الكاميرات التي يُفترض أنها مشفرة من طرف إلى طرف تدفقات غير مشفرة على الإطلاق؟
تحت أي ظروف يتم تشفير الفيديو بالفعل؟
هل تعتمد أي أجزاء أخرى من خدمة Eufy على التدفقات غير المشفرة ، مثل بوابة الويب لسطح المكتب من Eufy؟
كم من الوقت يمكن الوصول إلى دفق غير مشفر؟
هل هناك أي طرازات من كاميرات Eufy لا * لا * ترسل تدفقات غير مشفرة؟
هل سيقوم Eufy بتعطيل إرسال التدفقات غير المشفرة تمامًا؟ متى؟ كيف؟ إذا لم يكن كذلك ، فلماذا؟
إذا لم يكن الأمر كذلك ، فهل ستكشف Eufy لعملائها أن تدفقاتهم ليست دائمًا مشفرة؟ متى و اين؟
هل قام Eufy بتغيير عناوين URL للدفق إلى شيء يصعب عكسه هندسيًا؟ إذا لم يكن كذلك ، فهل سيفعل Eufy ذلك؟ متى؟
هل لا يزال من الممكن الوصول إلى التدفقات غير المشفرة عندما تستخدم الكاميرات فيديو HomeKit الآمن؟
هل صحيح أن “ZXSecurity17Cam @” هو مفتاح تشفير فعلي؟ إذا لم يكن الأمر كذلك ، فلماذا ظهر ذلك في الرمز الخاص بك المسمى كمفتاح تشفير وظهر في GitHub repo من عام 2019؟
بخلاف الصور المصغرة والتدفق غير المشفر ، هل هناك أي بيانات خاصة أخرى أو عناصر محددة تسمح كاميرات Eufy بالوصول إليها عبر السحابة؟
إلى جانب إمكانية الاستفادة من دفق غير مشفر ، هل هناك أي أشياء أخرى يمكن لخوادم Eufy أن تخبر الكاميرا بفعلها عن بُعد؟
ما الذي يمنع موظفي Eufy و Anker من الاستفادة من هذه التدفقات؟
ما هي الإجراءات المحددة الأخرى التي ستتخذها Eufy للتعامل مع أمنها وطمأنة العملاء؟
هل احتفظت Anker بأي شركات أمنية مستقلة لإجراء مراجعة لممارساتها بعد هذه الإفصاحات؟ أيّ؟
هل ستعرض Anker المبالغ المستردة للعملاء الذين اشتروا الكاميرات بناءً على التزام Eufy بالخصوصية؟
لماذا قال انكر الحافة أنه لم يكن من الممكن عرض الدفق غير المشفر في تطبيق مثل VLC؟
هل يشارك eufy تسجيلات الفيديو مع وكالات إنفاذ القانون؟
سنقدم ردود الشركة – أو عدم وجود ردود – في قصة مستقبلية.