Euphy
Euf y, la marca de Anker que posicionó sus cámaras de seguridad priorizando el “almacenamiento local” y “Sin nubes”, ha emitió una declaración
En un hilo titulado “Re: Reclamos de seguridad recientes contra eufy Security”, “eufy_official” escribe a sus “Security Cutomers and Partners”. Eufy está “adoptando un nuevo enfoque para la seguridad del hogar”, escribe la compañía, diseñado para operar localmente y “siempre que sea posible” para evitar los servidores en la nube. Las secuencias de video, el reconocimiento facial y la biometría de identidad se administran en dispositivos, “no en la nube”.
Esta reiteración se produce después de que se hayan planteado preguntas varias veces en las últimas semanas sobre las políticas de nube de Eufy. Un investigador de seguridad británico descubrió a fines de octubre que las alertas telefónicas enviadas desde Eufy se almacenaban en un servidor en la nube, aparentemente sin cifrar, con datos de identificación facial incluidos. Otra firma en ese momento resumió rápidamente dos años de hallazgos sobre la seguridad de Eufyseñalando transferencias de archivos sin cifrar similares.
En ese momento, Eufy reconoció que usaba servidores en la nube para almacenar imágenes en miniatura y que mejoraría su idioma de configuración para que los clientes que querían alertas móviles lo supieran. La compañía no abordó otras afirmaciones de los analistas de seguridad, incluido que se podía acceder a las transmisiones de video en vivo a través de VLC Media Player con la URL correcta, cuyo esquema de cifrado podría ser de fuerza bruta.
Un día después, el sitio de tecnología The Verge, en colaboración con un investigador, confirmó que un usuario que no haya iniciado sesión en una cuenta de Eufy podría ver la transmisión de una cámara, con la URL correcta. Obtener esa URL requería un número de serie (codificado en Base64), una marca de tiempo de Unix, un token aparentemente no validado y un valor hexadecimal de cuatro dígitos.
Eufy dijo entonces que “no está de acuerdo con las acusaciones formuladas contra la empresa en relación con la seguridad de nuestros productos”. La semana pasada, The Verge informó que la empresa cambió notablemente muchas de sus declaraciones y “promesas” de su página de política de privacidad. de Eufy declaración en sus propios foros llegó anoche.
Eufy afirma que su modelo de seguridad “nunca se ha intentado y esperamos desafíos en el camino”, pero que sigue comprometido con los clientes. La empresa reconoce que “se han realizado varias reclamaciones” contra su seguridad, y la necesidad de una respuesta ha frustrado a los clientes. Pero, escribe la compañía, quería “reunir todos los hechos antes de abordar públicamente estas afirmaciones”.
Las respuestas a esos reclamos incluyen a Eufy señalando que utiliza Amazon Web Services para reenviar notificaciones en la nube. La imagen se cifra de extremo a extremo y se elimina poco después de enviarla, afirma Eufy, pero la empresa tiene la intención de notificar mejor a los usuarios y ajustar su marketing.
En cuanto a la visualización de transmisiones en vivo, Eufy afirma que “no se ha expuesto ningún dato de usuario, y las posibles fallas de seguridad discutidas en línea son especulativas”. Pero Eufy agrega que ha deshabilitado la visualización de transmisiones en vivo cuando no está conectado a un portal de Eufy.
Eufy afirma que la afirmación de que envía datos de reconocimiento facial a la nube “no es cierta”. Todos los procesos de identidad se manejan en el hardware local y los usuarios agregan caras reconocidas a sus dispositivos a través de la red local o conexiones cifradas de igual a igual, afirma Eufy. Pero Eufy señala que su Video Doorbell Dual utilizó anteriormente “nuestro servidor AWS seguro” para compartir esa imagen con otras cámaras en un sistema Eufy; esa característica ha sido deshabilitada desde entonces.
The Verge, que no había recibido respuestas a más preguntas sobre las prácticas de seguridad de Eufy después de sus hallazgos, tiene algunas preguntas de seguimiento, y son notables. Incluyen por qué la empresa negó que fuera posible ver una transmisión remota en primer lugar, sus políticas de solicitud de aplicación de la ley y si la empresa realmente estaba usando “ZXSecurity17Cam@” como clave de cifrado.
El investigador Paul Moore, quien planteó algunas de las primeras preguntas sobre las prácticas de Eufy, aún no ha comentado directamente sobre Eufy desde que publicado en Twitter el 28 de noviembre que tuvo “una larga discusión con el departamento legal (de Eufy)”. Mientras tanto, Moore se ha dedicado a investigar otros sistemas de timbre de video “solo locales” y los encontró notablemente no local. Uno de ellos incluso parecía copiar la política de privacidad de Eufypalabra por palabra.
“Hasta ahora, es más seguro usar un timbre que te diga que está almacenado en la nube, ya que los que son lo suficientemente honestos como para decirte que generalmente usan criptografía sólida”, dijo Moore. escribió sobre sus esfuerzos. Algunos de los clientes más entusiastas y preocupados por la privacidad de Eufy pueden estar de acuerdo.
Imagen del listado por Eufy