Eufy geeft fouten met versleuteling videostreams toe
Eufy-moederbedrijf Anker pakt daarmee haar verantwoordelijkheid in het beveiligingsfiasco dat zich bij de accessoirefabrikant afspeelde. Videostreams van gebruikers bleken onversleuteld beschikbaar, en waren zodoende via bijvoorbeeld VLC te openen. Anker hield echter vol dat de beelden van Eufy-camera’s steeds versleuteld werden en dus niet zonder autorisatie toegankelijk waren. Daar komt de techgigant nu op terug in een uitgebreide verklaring aan The Verge, dat na wekenlange stilte dreigde een verhaal rondom de uitblijvende reacties te pennen.
Eufy erkent beveiligingsproblemen
Eufy erkent in zijn reactie dat de videostreams niet versleuteld waren. Wel gold die ‘beperking’ enkel voor de Web portal. Videostreams via de mobiele Security App werden al wel standaard versleuteld. De fabrikant stelt dat de webapplicatie geen versleuteling had ingebakken omdat de streams pas op een later moment – op aanvraag van gebruikers – aan het Web portal zijn toegevoegd. Hierdoor zou het bedrijf onvoldoende oog hebben gehad voor de beveiligingsaspecten van het platform. Inmiddels kunnen Eufy-gebruikers weer met gerust hart slapen. Ook in de browser zijn de streams nu versleuteld.
Hoofd communicatie bij Anker, Eric Villines, geeft de fout toe en erkent dat de fabrikant meteen alle streams had moeten beveiligen. Om de beveiliging van alle camera’s nu naar een hoger plan te tillen, kiest Eufy ervoor het WebRTC-protocol uit te rollen. Dit protocol biedt standaard end-to-end versleuteling en is al toegepast op de HomeBase 3 en eufyCam 3. Volgens Eufy ontvangen alle bestaande camera’s een firmware-update om dit protocol te ondersteunen. Het noemt op dit punt nog wel geen exacte datum waarop de updates worden uitgerold.
Villines onderkent in zijn reactie aan The Verge ook dat Eufy’s claims om geen data naar zijn servers te sturen, niet geheel juist waren. Het bedrijf stuurde thumbnails voor gezichtsherkenning naar zijn servers “om te voorkomen dat de gebruiker nogmaals zulke foto’s met zijn deurbel moest maken”, stelt de woordvoerder. Beelden die naar de servers van Eufy werden verstuurd, waren steevast versleuteld en daarmee enkel voor de gebruiker zichtbaar. Toch stopt de camerafabrikant nu met het uploaden van de foto’s. Alle data wordt voortaan lokaal verwerkt (en opgeslagen).
Extra beveiligingsmaatregelen
Data wordt weer lokaal verwerkt en videostreams zijn versleuteld. Eufy loste daarmee de euvels op die het de voorbije jaren zelf had gecreëerd. Toch wil de fabrikant meer doen, vermoedelijk ook om het vertrouwen bij de consument te herstellen. Daarom werkt het met beveiligingsexperten aan het onderzoeken van de beveiliging van zijn platform, komt er een bugbountyprogramma en verschijnt – volgens Eufy ‘begin februari’ – een minisite over de beveiligingsproblemen met Eufy-camera’s.