ديسمبر 29, 2024

مواطن دوت كوم

تقدم ArabNews أخبارًا إقليمية من أوروبا وأمريكا والهند وباكستان والفلبين ودول الشرق الأوسط الأخرى باللغة الإنجليزية لغير المتجانسين.

يوفي أنكر يقر بإمكانية الوصول إلى مقاطع الفيديو غير المشفرة ، ويخطط لإصلاح الخطط

يوفي أنكر يقر بإمكانية الوصول إلى مقاطع الفيديو غير المشفرة ، ويخطط لإصلاح الخطط

كاميرات Eufy
تكبير / قال قسم Eufy في أنكر إن بوابة الويب الخاصة به لم يتم تصميمها للتشفير من طرف إلى طرف ويمكن أن تسمح بالوصول الخارجي باستخدام عنوان URL الصحيح.

يوفي

بعد شهرين من الجدل ذهابًا وإيابًا مع النقاد حول كيفية وصول الباحثين الأمنيين إلى العديد من جوانب الكاميرات الأمنية “بلا غيوم” ، قدم قسم المنزل الذكي في Anker Eufy شرحًا مطولًا ووعد بعمل أفضل.

في ردود متعددة على الحافة، التي دعت Eufy مرارًا وتكرارًا لفشلها في معالجة الجوانب الرئيسية لنموذج الأمان الخاص بها ، صرحت Eufy بوضوح أنه يمكن الوصول إلى تدفقات الفيديو التي تنتجها كاميراتها ، دون تشفير ، من خلال بوابة الويب Eufy ، على الرغم من الرسائل والتسويق التي اقترحت خلاف ذلك. صرحت Eufy أيضًا أنها ستجلب مختبري الاختراق ، وتكلف تقرير باحث أمني مستقل ، وستنشئ برنامج مكافأة للأخطاء ، وتفاصيل أفضل لبروتوكولات الأمان الخاصة بها.

قبل أواخر نوفمبر 2022 ، كان Eufy يتمتع بمكانة متميزة بين مزودي أمن المنزل الذكي. بالنسبة لأولئك الذين يرغبون في الوثوق بأي شركة من خلال قنوات الفيديو وغيرها من البيانات المنزلية ، قامت Eufy بتسويق نفسها على أنها تقدم “لا توجد سحابات أو تكاليف” ، مع تدفق موجزات مشفرة إلى التخزين المحلي فقط.

ثم جاء أول ما كشف عنه Eufy المحزن. مستشار وباحث امني سأل بول مور Eufy على تويتر حول العديد من التناقضات التي اكتشفها. يمكن الوصول إلى الصور من كاميرا جرس الباب الخاصة به ، والتي تم تمييزها على ما يبدو ببيانات التعرف على الوجه ، من عناوين URL العامة. يبدو أن موجزات الكاميرا ، عند تنشيطها ، يمكن الوصول إليها دون مصادقة من VLC Media Player (شيء أكدت لاحقًا من قبل The Verge). أصدر Eufy بيانًا يفيد بأنه ، بشكل أساسي ، لم يشرح بشكل كامل كيفية استخدامه للخوادم السحابية لتقديم إشعارات الهاتف المحمول وتعهد بتحديث لغته. التزم مور الصمت بعد تغريدة عن “مناقشة مطولة” مع فريق Eufy القانوني.

READ  قام كاتب سابق في Gizmodo بتغيير اسمه إلى "Slackbot" وبقي دون أن يتم اكتشافه لعدة أشهر

بعد أيام ، أكد باحث أمني مختلف أنه ، نظرًا لعنوان URL من داخل بوابة الويب الخاصة بمستخدم Eufy ، فإنه يمكن دفقها. يبدو أيضًا أن مخطط التشفير على عناوين URL يفتقر إلى التعقيد ؛ كما قال نفس الباحث لآرس ، فإن الأمر استغرق 65.535 مجموعة فقط للقوة الغاشمة ، “والتي يمكن للحاسوب أن يمر بها بسرعة كبيرة.” زاد أنكر في وقت لاحق عدد الأحرف العشوائية المطلوبة لتخمين تدفقات URL وقالت إنها أزلت قدرة مشغلات الوسائط على تشغيل تدفقات المستخدم ، حتى لو كان لديهم عنوان URL.

أصدر Eufy بيانًا إلى The Verge و Ars وغيرهما من المطبوعات في ذلك الوقت ، مشيرًا إلى عدم موافقته “بشدة” على “الاتهامات الموجهة ضد الشركة فيما يتعلق بأمن منتجاتنا”. بعد الضغط المستمر من قبل The Verge ، Anker أصدر بيانا مطولا تفصيلاً أخطائها السابقة وخططها المستقبلية.

من بين تصريحات أنكر / يوفي البارزة:

  • بوابة الويب الخاصة به تمنع الآن المستخدمين من الدخول إلى “وضع التصحيح”.
  • محتوى دفق الفيديو مشفر ولا يمكن الوصول إليه خارج البوابة.
  • في حين أن “0.1 بالمائة فقط” من المستخدمين اليوميين الحاليين يصلون إلى البوابة ، فقد “واجهت بعض المشكلات” التي تم حلها.
  • تقوم Eufy بدفع WebRTC إلى جميع أجهزتها الأمنية كبروتوكول دفق مشفر من طرف إلى طرف.
  • تم تحميل صور التعرف على الوجه إلى السحابة للمساعدة في استبدال / إعادة تعيين / إضافة أجراس الباب بمجموعات الصور الموجودة ، ولكن تم إيقافها. لم يتم تضمين بيانات التعرف مع الصور المرسلة إلى السحابة.
  • خارج “المشكلة الأخيرة مع بوابة الويب” ، تستخدم جميع مقاطع الفيديو الأخرى التشفير من طرف إلى طرف.
  • سينتج “خبير أمني رائد ومعروف” تقريرًا حول أنظمة Eufy.
  • سيتم إحضار العديد من شركات “الاستشارات الأمنية الجديدة ، وإصدار الشهادات ، واختبار الاختراق” لتقييم المخاطر.
  • سيتم إنشاء “برنامج مكافآت Eufy Security”.
  • تتعهد الشركة “بتقديم تحديثات أكثر في الوقت المناسب في مجتمعنا (ووسائل الإعلام!).”
READ  دليل ميداني حول كيفية اكتشاف الصور المزيفة