Anker a confirmé que l’un de ses produits de caméra de sécurité présentait de graves failles de sécurité qui permettaient à des tiers non autorisés de visualiser les flux en direct de la caméra. Il a également confirmé qu’il envoyait des notifications push mobiles avec les visages des personnes via le cloud aux points de terminaison des utilisateurs. (s’ouvre dans un nouvel onglet).
Le chercheur en sécurité Paul Moore a récemment découvert que le flux de la caméra Eufy Doorbell Dual (appartenant à Anker) était accessible via un navigateur Web en connaissant simplement la bonne URL, sans mot de passe.
Les vidéos de caméra cryptées avec AES-128 utilisent une clé simple qui peut être cassée avec une relative facilité, a déclaré Moore à l’époque, ajoutant que l’application téléchargeait des vignettes sur le cloud, avant de les envoyer aux applications mobiles des gens sous forme de notifications, et que le caméra téléchargeait des données de reconnaissance faciale sur son cloud AWS sans cryptage.
Confirmation des rapports des chercheurs
Maintenant, dans un article de blog (s’ouvre dans un nouvel onglet) intitulée « To our eufy Security Customers and Partners », la société a répondu à ces affirmations, confirmant certaines d’entre elles, mais en niant d’autres.
Quant à l’accès au flux de la caméra, le chercheur avait raison. « La fonctionnalité d’affichage en direct d’eufy Security sur sa fonctionnalité de portail Web présente une faille de sécurité », a déclaré la société, avant d’ajouter qu’aucune donnée utilisateur n’avait été exposée. « Les failles de sécurité potentielles discutées en ligne sont spéculatives », lit-on sur le blog.
Néanmoins, la société a apporté quelques modifications, permettant désormais aux utilisateurs de visualiser les flux en direct via le Web uniquement s’ils se connectent au portail Web eufy.com 3. « Les utilisateurs ne peuvent plus voir les flux en direct (ou partager des liens actifs vers ces flux en direct avec d’autres) en dehors du portail Web sécurisé d’eufy », a-t-il déclaré.
Anker a également confirmé l’utilisation du cloud pour envoyer des notifications push mobiles aux utilisateurs. Bien qu’il ait déclaré que la fonctionnalité « est conforme à toutes les normes de l’industrie », il a apporté quelques modifications – il a mis à jour l’application eufy Security avec une explication plus détaillée des différentes options de notification push et a révisé sa déclaration de confidentialité sur eufy.com 3, qui devrait être publié « plus tard cette semaine ».
« À l’avenir, ce sera un domaine d’amélioration important pour nos équipes de marketing et de communication et sera ajouté à notre site Web, à nos politiques de confidentialité et à d’autres supports marketing », explique le blog.
Enfin, il a répondu aux inquiétudes selon lesquelles l’appareil photo envoie des données de reconnaissance faciale au cloud, déclarant brièvement « Ce n’est pas vrai ».
« Il s’agit d’un différenciateur clé pour eufy Security – tous les processus de reconnaissance faciale et biométriques sont effectués localement sur l’appareil de l’utilisateur. Ces informations ne sont jamais traitées dans le cloud.
L’entreprise a été critiquée par des chercheurs en sécurité et les médias pour mauvaise communication – quelque chose qu’elle visait également à résoudre avec cette mise à jour :
« À l’avenir, nous devrons mieux équilibrer notre besoin d’obtenir » tous les faits « avec notre obligation de tenir nos clients informés plus rapidement », a-t-il déclaré.