11월 16, 2024

Wpick

지상에서 한국의 최신 개발 상황을 파악하세요

Yovi Anker는 암호화되지 않은 비디오에 대한 액세스를 인정하고 계획을 수정할 계획입니다.

Yovi Anker는 암호화되지 않은 비디오에 대한 액세스를 인정하고 계획을 수정할 계획입니다.

확대 / Anker의 Eufy 부서는 웹 포털이 종단간 암호화를 위해 설계되지 않았으며 올바른 URL을 사용하여 외부 액세스를 허용할 수 있다고 말했습니다.

이오프

보안 연구원들이 온라인에서 “클라우드리스” 보안 카메라의 여러 측면에 액세스하는 방법에 대해 비평가들과 두 달 동안 논쟁을 벌인 후 Anker Eufy의 스마트 홈 사업부는 긴 설명을 제공하고 더 잘할 것을 약속했습니다.

안에 Edge의 다중 응답Eufy는 보안 모델의 핵심 측면을 해결하지 못한 것에 대해 반복적으로 Eufy를 비난해 왔으며, 달리 제안하는 메시지와 마케팅에도 불구하고 카메라에서 생성된 비디오 스트림은 Eufy 웹 포털을 통해 암호화되지 않은 상태로 액세스할 수 있다고 분명히 밝혔습니다. Eufy는 또한 침투 테스터를 영입하고, 독립적인 보안 연구원의 보고서를 의뢰하고, 버그 바운티 프로그램을 만들고, 보안 프로토콜을 더 자세히 설명할 것이라고 말했습니다.

2022년 11월 말 이전에 Eufy는 스마트 홈 보안 제공업체 사이에서 틈새 시장을 가졌습니다. 비디오 피드 및 기타 홈 데이터가 있는 회사를 기꺼이 신뢰하는 사람들을 위해 Eufy는 암호화된 피드가 로컬 스토리지로만 스트리밍되는 “클라우드 또는 비용 없음”을 제공한다고 마케팅했습니다.

그리고 그가 왔다 Eufy의 첫 번째 슬픈 폭로. 보안 컨설턴트 및 연구원 Paul Moore는 트위터에서 Eufy에게 물었다. 그가 발견한 많은 모순에 대해. 얼굴 인식 데이터로 태그가 지정된 초인종 카메라의 이미지는 공개 URL에서 액세스할 수 있습니다. 카메라 피드가 활성화되면 VLC Media Player(무언가)에서 인증 없이 액세스할 수 있는 것으로 보입니다. 나중에 The Verge에서 확인). Eufy는 본질적으로 클라우드 서버를 사용하여 모바일 알림을 전달하는 방법을 완전히 설명하지 않았으며 언어를 업데이트하겠다고 약속한 성명을 발표했습니다. Moore는 Eufy의 법률 팀과의 “긴 토론”에 대해 트윗한 후 침묵을 지켰습니다.

며칠 후, 다른 보안 연구원이 Eufy 사용자의 웹 포털 내에서 URL을 제공받았음을 확인했습니다. 스트리밍 가능. URL의 인코딩 체계도 복잡하지 않은 것 같습니다. 같은 연구원이 Ars에 말했듯이 “컴퓨터가 매우 빠르게 실행할 수 있는” 65,535개의 무차별 대입 조합만 필요했습니다. Anker 나중에 증가 URL 스트림을 추측하는 데 필요한 무작위 문자의 수는 URL이 있더라도 미디어 플레이어가 사용자 스트림을 재생하는 기능을 제거했다고 그는 말했습니다.

Eufy는 당시 The Verge, Ars 및 기타 간행물에 “제품 보안과 관련하여 회사에 대한 비난”에 “강력하게”동의하지 않는다는 성명을 발표했습니다. The Verge의 지속적인 압력 이후 Anker 장문의 성명을 발표했다 과거의 실수와 향후 계획을 자세히 설명합니다.

Anker / Yoffe의 주목할만한 진술 중 :

  • 웹 포털은 이제 사용자가 “디버그 모드”로 들어가는 것을 차단합니다.
  • 비디오 스트림의 콘텐츠는 암호화되어 포털 외부에서 액세스할 수 없습니다.
  • 현재 일일 사용자의 “단지 0.1%”만이 포털에 액세스하지만 해결된 “몇 가지 문제가 있었습니다”.
  • Eufy는 WebRTC를 종단간 암호화 스트리밍 프로토콜로 모든 보안 하드웨어에 푸시합니다.
  • 초인종을 기존 이미지 세트로 교체/재설정/추가하는 데 도움이 되도록 얼굴 인식 이미지가 클라우드에 업로드되었지만 중단되었습니다. 식별 데이터는 클라우드로 전송되는 사진에 포함되지 않습니다.
  • “웹 포털의 마지막 문제” 외에 다른 모든 비디오는 종단 간 암호화를 사용합니다.
  • “선도적이고 인정받는 보안 전문가”가 Eufy 시스템에 대한 보고서를 작성합니다.
  • 여러 “새로운 보안 컨설팅, 인증 및 침투 테스트” 회사가 위험을 평가하기 위해 투입될 것입니다.
  • “Eufy 보안 보상 프로그램”이 수립됩니다.
  • 회사는 “커뮤니티(및 미디어!)에서 보다 시기 적절한 업데이트를 제공”할 것을 약속합니다.