Anker mengakui bahwa Eufy memiliki masalah keamanan kamera

Anker mengakui bahwa Eufy memiliki masalah keamanan kamera

Anker telah mengonfirmasi bahwa salah satu produk kamera keamanannya memiliki kerentanan keamanan serius yang memungkinkan pihak ketiga yang tidak sah untuk melihat umpan kamera langsung. Itu juga menegaskan bahwa itu mengirimkan pemberitahuan push seluler dengan wajah orang-orang melalui cloud ke titik akhir pengguna (terbuka di tab baru).

Peneliti keamanan Paul Moore baru-baru ini menemukan bahwa umpan kamera Eufy Doorbell Dual (dimiliki oleh Anker) dapat diakses melalui browser web hanya dengan mengetahui URL yang benar, tidak perlu kata sandi.

Video kamera yang dienkripsi dengan AES-128 menggunakan kunci sederhana yang relatif mudah diretas, kata Moore pada saat itu, menambahkan bahwa aplikasi mengunggah thumbnail ke cloud sebelum mengirimkannya ke aplikasi seluler orang sebagai notifikasi, dan kamera mengirimkan pengenalan wajah data ke cloud AWS Anda tanpa enkripsi.

Memverifikasi laporan peneliti

Sekarang di posting blog (terbuka di tab baru) berjudul “Kepada Pelanggan dan Mitra Keamanan Eufy Kami,” perusahaan menangani klaim ini, membenarkan beberapa di antaranya tetapi menyangkal yang lain.

Dalam hal akses ke gambar dari kamera – peneliti benar. “Fitur tampilan langsung Eufy Security di portal webnya memiliki kerentanan keamanan,” kata perusahaan itu, menambahkan bahwa tidak ada informasi pengguna yang diungkapkan. “Potensi kerentanan yang dibahas di Internet adalah spekulasi,” tulis blog tersebut.

Meskipun demikian, perusahaan telah membuat beberapa perubahan, sekarang memungkinkan orang untuk menonton streaming langsung online hanya dengan masuk ke portal web eufy.com 3. “Pengguna tidak dapat lagi menonton streaming langsung (atau berbagi tautan aktif ke streaming langsung ini dengan orang lain) di luar portal online aman eufy.

Anker juga mengonfirmasi penggunaan cloud untuk mengirim pemberitahuan push kepada pengguna ke perangkat seluler. Meskipun mengklaim fitur tersebut “sesuai dengan semua standar industri”, ia telah membuat beberapa penyesuaian – telah memperbarui aplikasi Keamanan eufy dengan penjelasan yang lebih rinci tentang berbagai opsi pemberitahuan push dan meningkatkan pernyataan privasinya di eufy.com 3 yang harus diterbitkan “belum minggu ini”.

“Ke depan, ini akan menjadi area peningkatan yang signifikan untuk tim pemasaran dan komunikasi kami dan akan ditambahkan ke situs web kami, kebijakan privasi, dan materi pemasaran lainnya,” jelas blog tersebut.

Terakhir, dia menjawab kekhawatiran bahwa kamera mengirimkan data pengenalan wajah ke cloud, dengan singkat menyatakan: “Itu tidak benar.”

“Ini adalah pembeda utama eufy Security – semua proses pengenalan wajah dan biometrik dilakukan secara lokal di perangkat pengguna. Informasi ini tidak pernah diproses di cloud.”

Perusahaan tersebut dikritik oleh peneliti keamanan dan media karena komunikasi yang buruk – sesuatu yang juga ingin dibahas dalam pembaruan ini:

“Ke depan, kami perlu lebih menyeimbangkan kebutuhan kami untuk mendapatkan ‘semua fakta’ dengan kewajiban kami untuk memberi tahu pelanggan kami lebih cepat,” katanya.

Author: Lawrence Carter