Em novembro, a marca Eufy de Anker ganhou as manchetes depois que o consultor de segurança Paul Moore descobriu que as câmeras de segurança Eufy estavam enviando dados para a nuvem, mesmo quando as configurações de upload de armazenamento em nuvem estavam desativadas. Além disso, os fluxos da câmera Eufy supostamente podiam ser assistidos ao vivo por meio de um aplicativo como o VLC, que apresentava um problema de segurança flagrante.
O fato de as câmeras Eufy estarem carregando conteúdo para a nuvem era problemático porque Anker há muito tempo elogiava a segurança de seus dispositivos Eufy, alegando que eles apresentam armazenamento apenas local e criptografia de ponta a ponta para aqueles que desejam uma solução de câmera mais privada. Após este desastre, The Verge começou a tentar obter respostas sobre a segurança da câmera Eufy de Anker, e Anker estava fornecendo respostas deliberadamente pouco claras e muitas vezes enganosas sobre como as câmeras Eufy funcionavam.
The Verge finalmente conseguiu obter respostas de Anker, ameaçando publicar uma história sobre a falta de comunicação da empresa, o que levou a alguns esclarecimentos sobre a segurança da Eufy. As câmeras Eufy não oferecem criptografia nativa de ponta a ponta e, de fato, fornecem fluxos de vídeo não criptografados por meio do portal da Web Eufy, embora Anker diga que esse é um problema que já foi corrigido. De Eufy:
Anteriormente, depois de fazer login em nosso portal seguro da Web em eufy.com, um usuário registrado podia entrar no modo de depuração, usar o DevTool do navegador da Web para localizar a transmissão ao vivo e reproduzir ou compartilhar esse link com outra pessoa para jogar fora de nosso sistema seguro . No entanto, seria uma escolha do usuário compartilhar esse link, e eles precisariam primeiro fazer login no portal da Web eufy para obter esse link.
Hoje, com base no feedback da indústria e com muita cautela, o portal eufy Security Web agora proíbe os usuários de entrar no modo de depuração, e o código foi fortalecido e ofuscado. Além disso, o conteúdo do stream de vídeo é criptografado, o que significa que esses streams de vídeo não podem mais ser reproduzidos em reprodutores de mídia de terceiros, como o VLC.
Devo observar, no entanto, que apenas 0,1% de nossos usuários diários atuais usam o recurso de portal da Web seguro em eufy.com. A maioria de nossos usuários usa o aplicativo eufy Security para visualizar transmissões ao vivo. De qualquer forma, o design anterior do nosso portal da Web apresentava alguns problemas, que já foram resolvidos.
As solicitações de transmissão de vídeo originárias do portal da Web Eufy serão criptografadas de ponta a ponta, assim como no aplicativo Eufy, que Anker diz ser a principal maneira de os usuários da Eufy acessarem os fluxos de câmera. Anker diz que todas as câmeras Eufy estão sendo atualizadas para usar o WebRTC, que é criptografado por padrão, e não será mais possível reproduzir streams de vídeo Eufy por meio de aplicativos de terceiros.
Anker lamentou sua falta de comunicação e disse que faria melhor no futuro. A empresa está trazendo empresas de segurança terceirizadas para auditar os produtos de segurança Eufy e está trabalhando em um programa oficial de recompensas por bugs. A Anker também estabelecerá um microsite de segurança em fevereiro e fornecerá aos clientes mais informações sobre as mudanças que foram implementadas.
Para aqueles que estão interessados em todos os detalhes do que Eufy tem a dizer, The Verge publicou suas comunicações completas por e-mail com os porta-vozes da Anker.