Eufy reconhece publicamente algumas partes de seu controverso “No Clouds”

Prolongar / O braço de segurança da Eufy abordou publicamente algumas das maiores reivindicações sobre os sistemas com foco local da empresa, mas aqueles que compraram as alegações de “sem nuvens” podem não ter certeza absoluta.

eufi

eufy, marca da Anker que posicionou suas câmeras de segurança priorizando “armazenamento local” e “sem nuvem”, emitiu uma declaração em resposta a descobertas recentes de pesquisadores de segurança e sites de notícias de tecnologia. Eufy admite que poderia fazer melhor, mas também deixa alguns problemas sem solução.

Em um tópico intitulado “Re: Reclamações de segurança recentes contra a eufy Security”, “eufy_official” escreve para seus “Security Cutomers and Partners”. A Eufy está “adotando uma nova abordagem para a segurança doméstica”, escreve a empresa, projetada para operar localmente e “sempre que possível” para ignorar os servidores em nuvem. Imagens de vídeo, reconhecimento facial e biometria de identidade são gerenciados em dispositivos, “não na nuvem”.

Essa reiteração ocorre depois que perguntas foram levantadas várias vezes nas últimas semanas sobre as políticas de nuvem da Eufy. Um pesquisador de segurança britânico descobriu no final de outubro que os alertas telefônicos enviados pelo Eufy eram armazenado em um servidor de nuvem, aparentemente não criptografado, com dados de identificação facial incluídos. Outra empresa da época resumiu rapidamente Dois anos de descobertas de segurança do Eufyobservando transferências de arquivos não criptografados semelhantes.

Na época, a Eufy reconheceu que usava servidores em nuvem para armazenar imagens em miniatura e que melhoraria sua linguagem de configuração para que os clientes que desejassem alertas móveis soubessem disso. A empresa não abordou outras reivindicações de analistas de segurança, incluindo que streams de vídeo ao vivo poderiam ser acessados ​​por meio do VLC Media Player com o URL correto, cujo esquema de criptografia poderia ser de força bruta.

Um dia depois, o site de tecnologia The Verge, trabalhando com um pesquisador, confirmou que um usuário não logado em uma conta Eufy poderia visualizar um feed de câmera, fornecido o URL correto. Obter esse URL exigia um número de série (codificado em Base64), um registro de data e hora Unix, um token aparentemente não validado e um valor hexadecimal de quatro dígitos.

A Eufy disse então que “discorda das alegações feitas contra a empresa em relação à segurança de nossos produtos”. Na semana passada, o The Verge informou que a empresa alterou notavelmente muitas de suas declarações e “promessas” de sua página de política de privacidade. por Eufy declaração em seus próprios fóruns chegou ontem à noite.

Eufy diz que seu modelo de segurança “nunca foi testado e esperamos desafios ao longo do caminho”, mas que continua comprometido com os clientes. A empresa reconhece que “várias reclamações foram feitas” contra sua segurança, e a necessidade de uma resposta frustrou os clientes. Mas, escreve a empresa, ela queria “reunir todos os fatos antes de abordar publicamente essas reivindicações”.

As respostas a essas reivindicações incluem Eufy apontando que usa Amazon Web Services para encaminhar notificações na nuvem. A imagem é criptografada de ponta a ponta e excluída logo após o envio, afirma Eufy, mas a empresa pretende notificar melhor os usuários e ajustar seu marketing.

Quanto à visualização de transmissões ao vivo, Eufy afirma que “nenhum dado do usuário foi exposto e possíveis falhas de segurança discutidas online são especulativas”. Mas Eufy acrescenta que desativou a visualização de transmissões ao vivo quando você não está conectado a um portal Eufy.

A Eufy afirma que a alegação de que envia dados de reconhecimento facial para a nuvem “não é verdadeira”. Todos os processos de identidade são tratados no hardware local e os usuários adicionam rostos reconhecidos aos seus dispositivos por meio da rede local ou conexões ponto a ponto criptografadas, diz Eufy. Mas Eufy observa que sua campainha de vídeo dupla usou anteriormente “nosso servidor AWS seguro” para compartilhar essa imagem com outras câmeras em um sistema Eufy; esse recurso foi desativado desde então.

The Verge, que não recebeu respostas para mais perguntas sobre as práticas de segurança da Eufy após suas descobertas, tem algumas perguntas de acompanhamento, e eles são notáveis. Eles incluem por que a empresa negou que o streaming remoto fosse possível em primeiro lugar, suas políticas de solicitação de aplicação da lei e se a empresa estava realmente usando “[email protected]” como chave de criptografia.

O pesquisador Paul Moore, que levantou algumas das primeiras questões sobre as práticas de Eufy, ainda não comentou diretamente sobre Eufy desde postado no Twitter em 28 de novembro que ele teve “uma longa discussão com o departamento jurídico (da Eufy)”. Enquanto isso, Moore tem pesquisado outros sistemas de campainha de vídeo “somente locais” e os encontrou notavelmente não local. um deles mesmo parecia copiar a política de privacidade da eufypalavra por palavra.

Até agora, é mais seguro usar uma campainha que informa que está armazenada na nuvem, pois os que são honestos o suficiente para dizer geralmente usam criptografia forte”, disse Moore. escreveu sobre seus esforços. Alguns dos clientes mais entusiasmados e preocupados com a privacidade da Eufy podem concordar.

Listagem de imagem por Eufy

You May Also Like

About the Author: Gabriela Cerqueira

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *