يعترف Eufy بأن الكاميرات “المحلية” كانت ترسل تدفقات غير مشفرة
في موجة من التدقيق الشديد ، اتهم الباحثون والصحفيون كلا من صانعي الكاميرات الأمنية في Eufy بالكذب على المستخدمين بأن تدفقات الفيديو الخاصة بهم كانت مشفرة من طرف إلى طرف ، على الرغم من أن المستخدمين كانوا قادرين بسهولة على الوصول إلى التدفقات باستخدام أدوات متصفح بسيطة و مشغل وسائط سطح المكتب.
بعد أكثر من شهرين من الذهاب والإياب ، اعترفت شركة Eufy and Anker ، الشركة الأم لصناعة الأجهزة ، تمامًا الحافة يوم الثلاثاء أن كاميرات Eufy الأمنية كانت ترسل بالفعل تدفقات فيديو غير مشفرة من طرف إلى طرف إلى بوابة الويب Eufy.
تم ملاحظة مشكلة الأمان الأصلية لأول مرة بواسطة باحث أمني بول مورالذي لاحظ كاميرات Eufy كانوا يتدفقون مقاطع فيديو مسجلة إلى خادم سحابي على بوابة الويب للموقع ، على الرغم من عدم تمكين التخزين السحابي. ظلت هذه البيانات المرسلة إلى السحابة غير مشفرة ، ويمكن للمستخدمين استخدام أدوات تطوير مستعرض الويب لتشغيل هذه المقاطع على العديد من مشغلات وسائط سطح المكتب البسيطة مثل VLC.
لقد كان مظهرًا سيئًا ، خاصة وأن أكبر ادعاء لـ Eufi للشهرة كان حماية الخصوصية ، حيث كان من المفترض أن يتم تخزين الفيديو محليًا ، وأي لقطات يتم إرسالها إلى أجهزة مثل هاتف المستخدمين أو بوابة الويب من المفترض أن للوصول إلى هناك باستخدام التشفير التام بين الأطراف.
تواصلت Gizmodo مع Eufy للتعليق وبيان كامل ، على الرغم من أن The Verge قد أدرجت قائمة كاملة بالإجابات على طلبها الإعلامي في تقريرها.
قد تحصل G / O Media على عمولة
قال إريك فيلينز ، الرئيس العالمي للاتصالات في شركة Eufy ، إن الفيديو المباشر كان مشفرًا في السابق فقط عندما تلقى نظام الأمان طلب مستخدم لبث الفيديو المباشر. بوابة الويب التي استخدمتها الشركة سابقًا “لم يتم تصميمها لدعم تشفير P2P لمشاهدة البث المباشر.” بدلاً من ذلك ، كانت الحماية الوحيدة هي تسجيل دخول المستخدم.
كتب فيلينز: “لم يكن هذا كافيًا ، وقد تم إصلاحه”. قال ممثل الشركة أيضًا إن بوابة الويب الآن تمنع المستخدمين من الدخول في وضع التصحيح ، وقد تم “تشديد وتشويش الرمز”. من المفترض الآن أن محتوى دفق الفيديو مشفر أيضًا.
أخبر أنكر The Verge أن Eufy قد قام بالفعل بتحديث موقعه بحيث يتم تشفير كل طلب دفق فيديو من طرف إلى طرف. بالإضافة إلى ذلك ، قالت Anker إنها ستبدأ في استخدام WebRTC ، وهو بروتوكول دفق مفتوح المصدر مشفر أصلاً ، لكاميراته كلما أرسلوا معلومات. قالت الشركة إنها ستستمر في استخدام نموذج P2P تابع لجهة خارجية لتشفير البيانات بين تطبيق Eufy وأجهزة المستخدمين.
ومع ذلك ، حاول Anker تقليل مدى عمق الثغرة الأمنية. في البيان الكامل الذي عرضته The Verge ، قالت الشركة “لم يكن هناك تسرب للبيانات ، ولم ننتهك القانون العام لحماية البيانات أو قوانين حماية البيانات الأخرى.” كررت الشركة أنها لا تملك حق الوصول إلى البث المباشر أو مقاطع الفيديو الخاصة بالمستخدمين ، وإذا طلب أي تطبيق قانوني الوصول إلى هذا الفيديو ، فسيتعين عليه المرور عبر المستخدم الفردي.
لا يزال يتم تحديد ما إذا كانت كل هذه التغييرات ستصلح بالفعل مشكلة الفيديو المحتمل عرضه على الموقع بطريقة غير مشفرة. وعدت Anker بأنها ستنشئ موقعًا إلكترونيًا مخصصًا لإظهار كيفية عمل عملية التشفير. تستعين الشركة بمدققي الحسابات PricewaterhouseCoopers و TrustARC لتدقيق أمنها. وقالت أيضًا إنها تجري محادثات مع مدقق حسابات “خبير أمني” خارجي للنظر في أمن Eufy ، وفقًا للبيان الكامل الذي يظهر في تقرير The Verge.