Anker admet avoir menti sur le cryptage des caméras de sécurité Eufy ; décrit les plans futurs

Anker admet avoir menti sur le cryptage des caméras de sécurité Eufy ;  décrit les plans futurs

Anker a admis que ses déclarations sur le cryptage des caméras de sécurité Eufy n’étaient pas exactes. La marque de maison intelligente avait précédemment déclaré que toutes les séquences vidéo étaient cryptées de bout en bout, mais a maintenant admis qu’il y avait une exception à cela (qu’elle a maintenant corrigée).

L’entreprise n’a finalement révélé la violation de la vie privée qu’après Le bord menacé de publier un article sur l’incapacité de l’entreprise à répondre à ses questions …

Fond

La faille de sécurité a été découverte pour la première fois en décembre de l’année dernière, lorsqu’un client a pu accéder à des flux vidéo non cryptés à l’aide du populaire lecteur multimédia VLC. Un chercheur en sécurité l’a confirmé et a par ailleurs prouvé que des données vidéo étaient téléchargées sur le cloud même lorsque l’utilisateur refusait l’autorisation.

En utilisant simplement le populaire lecteur multimédia VLC, un utilisateur a pu accéder au flux d’une caméra, et Paul Moore a confirmé (mais sans montrer comment cela fonctionne) que les flux sont accessibles sans cryptage ni authentification requis. […]

Dans le fil de discussion et les vidéos qui l’accompagnent, Moore montre la preuve que les caméras Eufy envoient des données dites « stockées localement » dans le cloud, même lorsque le stockage dans le cloud est désactivé.

Cela faisait suite à un incident similaire en 2021, lorsque les utilisateurs pouvaient voir les flux de caméras en direct et enregistrés de parfaits inconnus. Eufy a blâmé celui-ci sur un bug, et a promis de contacter les « 0,001 % des utilisateurs » concernés.

Le propriétaire de la marque Eufy, Anker, a mis près de trois semaines pour répondre à l’affaire de décembre, avant de publier une déclaration admettant en partie que ses allégations de sécurité n’étaient pas vraies.

Aucune donnée utilisateur n’a été exposée et les failles de sécurité potentielles discutées en ligne sont spéculatives. Cependant, nous convenons qu’il y avait des domaines clés à améliorer. Nous avons donc fait [authentication] changements.

Admission de la faille de chiffrement des caméras de sécurité Eufy

À l’époque, Le bord posté une longue liste de questions auxquelles Anker devait répondre. Il semble que la publication ait eu du mal à obtenir des réponses, car elle n’a obtenu une réponse qu’en menaçant de publier un article sur l’incapacité de l’entreprise à y répondre.

Il rapporte qu’Anker a finalement admis deux choses qu’il avait précédemment niées. Tout d’abord, ses caméras pouvez transmettre des séquences vidéo non cryptées. Deuxièmement, il y a une circonstance dans laquelle ils faire.

Dans une série d’e-mails à The Verge, Anker a finalement admis que ses caméras de sécurité Eufy ne sont pas cryptées nativement de bout en bout – elles peuvent et ont produit des flux vidéo non cryptés pour le portail Web d’Eufy, comme ceux auxquels nous avons accédé depuis les États-Unis à l’aide d’un lecteur multimédia ordinaire.

Nous avons maintenant également une explication sur la différence entre la théorie (et les affirmations initiales de l’entreprise) et la réalité.

La vidéo envoyée à l’application compagnon iPhone et Android utilisait en effet un cryptage de bout en bout (E2E), comme indiqué. Toute personne ayant intercepté ce flux ne pourrait pas visionner la vidéo.

La même chose était vraie de enregistré images envoyées sur le Web ; cela aussi utilisait le cryptage E2E.

Cependant, habitent flux vidéo envoyé sur le net n’étaient pas cryptées, ni même authentifiées, ce qui indique que les images en streaming pouvaient être visionnées par toute personne ayant accès au lien.

Les promesses de l’entreprise

Anker semble enfin réaliser qu’il a un parcelle de travail à faire si quelqu’un veut lui faire à nouveau confiance.

Tout d’abord, dit-il, il met à jour à distance chaque caméra Eufy pour envoyer uniquement des images cryptées au portail Web.

Deuxièmement, il charge des sociétés de sécurité externes d’auditer ses pratiques et d’effectuer des tests d’intrusion (où les consultants utilisent des techniques de piratage pour tenter d’accéder). Il demandera à un « expert en sécurité bien connu » de rédiger un rapport indépendant.

Enfin, il créera un programme de primes aux bugs qui incitera les chercheurs en sécurité et les pirates à trouver et à signaler les vulnérabilités.

Le bord a publié toutes les réponses d’Anker, dans leur intégralité.

Avis de Netcost-security.fr

Comme le dit le vieil adage, n’attribuez jamais à la méchanceté ce qui peut être adéquatement expliqué par l’incompétence. Compte tenu de la nature du défaut, j’ai tendance à croire que l’entreprise n’a pas sciemment mentir ou tromper qui que ce soit. Au contraire, sa direction n’a pas réalisé qu’une faille massive existait, simplement parce qu’elle était liée à une fonctionnalité (visualisation de flux vidéo en direct sur le portail vidéo) qui n’était presque jamais utilisée par personne.

Cependant, ce n’est pas une excuse. Involontaire ou non, il a menti. Lorsqu’une société de caméras de sécurité promet que toutes les séquences vidéo ne quittent jamais la caméra sans cryptage E2E, il doit être certain à 100 % que cette affirmation est correcte. Ce n’est tout simplement pas assez bon pour croire ce soit le cas.

Encore plus inexcusable est de continuer à faire des déclarations inexactes après que les déclarations de la société aient été démontré être faux. Lorsque cela se produit, vous ne continuez pas allègrement à répéter les mêmes assurances : vous vérifiez immédiatement la réclamation (ce qui était trivial à faire), l’admettez, puis la corrigez.

Le fait qu’Anker n’ait pas fait cela est, à mon avis, impardonnable.


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :

YouTube video