Chytré kamery značky Eufy (spadající pod Anker) se řadí k jedněm z nejoblíbenějších na trhu díky snadné ovladatelnosti a pokročilým funkcím, před nedávnem však bezpečnostní analytik Paul Moore upozornil na zásadní bezpečnostní problém. Kromě faktu, že kamery odesílaly data do cloudu bez vědomí zákazníků, přičemž sám výrobce se chlubil tím, že obsah zůstává dostupný pouze uživateli, bylo rovněž možné streamovat video skrze obyčejný VLC přehrávač, a to bez potřeby jakékoliv autentizace či prolomení (chybějícího) zabezpečení. Pravda tedy byla na hony vzdálená tvrzení výrobce, že je veškerý obsah ukládán výlučně na lokální úložiště a zobrazí jej pouze spárována zařízení uživatele.
Ah well, the cats out the bag now... so may as well tell you.
— Paul Moore (@Paul_Reviews) November 25, 2022
You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.
Please don't ask for a PoC - I can't release this one.
Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX
Po několika měsících Anker plně přijal zodpovědnost za uvedené bezpečnostní pochybení a v komunikaci s redakcí The Verge uvedl zástupce společnosti, že v současnosti aktualizují veškeré Eufy kamery tak, aby využívaly WebRTC API ke kompletnímu zabezpečení nahraného obsahu skrze AES a RSA algoritmy.
Na základě zpětné vazby z oboru a z důvodu opatrnosti je nyní na webovém portálu eufy Security zakázáno vstupovat do režimu ladění a kód byl upraven kvůli větší bezpečnosti. Kromě toho je obsah videostreamů šifrován, což znamená, že tyto videostreamy již nelze přehrávat v přehrávačích médií třetích stran, jako je například VLC. Dnes všechna videa (živě streamovaná i již nahraná) sdílená mezi zařízením uživatele a webovým portálem eufy Security nebo aplikací eufy Security využívají end-to-end šifrování, které je realizováno pomocí algoritmů AES a RSA, uvádí Eric Villines, mluvčí společnosti Anker.