أكّدت شركة Anker أن أحد كاميراتها الأمنية تحمل بعض العيوب الأمنية الخطيرة التي سمحت لأطراف خارجية غير مصرح لها بمشاهدة البث المباشر للكاميرا، تحديدًا في كاميرا Eufy Doorbell Dual.
اكتشف الباحث الأمني بول مور أنه يمكن الوصول إلى بث كاميرا Eufy Doorbell Dual المملوكة لشركة Anker عبر متصفح الويب بمجرد معرفة عنوان URL الصحيح، دون الحاجة إلى كلمة مرور.
وقال الباحث الأمني إن مقاطع فيديو الكاميرا المشفرة باستخدام تشفير AES-128 تستخدم مفتاحًا بسيطًا يمكن كسر تشفيره بسهولة، مضيفًا أن التطبيق كان يقوم بتحميل الصور المصغرة على السحابة، قبل إرسالها إلى تطبيقات الجوال على هيئة إشعار، وأن الكاميرا كانت تحمّل بيانات التعرف على الوجه إلى سحابة AWS بدون تشفير.
اعتراف Anker
في منشور رسمي عبر موقعها الإلكتروني، بعنوان: «إلى عملاء وشركاء eufy Security» ردت الشركة على هذه الادعاءات وأكدت بعضها ونفت بعضها.
بخصوص الوصول إلى بث الكاميرا كان الباحث الأمني على حق.
حيث قالت الشركة -قبل أن تضيف أن بيانات المستخدمين لم تُكشف- إن ميزة البث المباشر في eufy Security بها خلل أمني، وأن الثغرات الأمنية التي نوقشت عبر الإنترنت مجرد تخمينية.
ومع ذلك، أجرت Anker بعض التغييرات، حيث تسمح للمستخدمين الآن بمشاهدة البث المباشر للكاميرا إذا قاموا بتسجيل الدخول إلى بوابة الويب eufy.com فقط.
وقالت الشركة: «لم يعد بإمكان المستخدمين مشاهدة البث المباشر (أو مشاركة الروابط النشطة لذلك البث المباشر مع الآخرين) خارج بوابة الويب الآمنة لموقع eufy».
أكّدت Anker أيضًا استخدام السحابة لإرسال إشعارات الجوال للمستخدمين. وعملت على بعض التعديلات وتحديث تطبيق eufy Security لإصلاح الخلل.
ولكنها في الوقت نفسه نفت أن تكون بيانات التعرف على الوجه يتم إرسالها إلى السحابة، وأكّدت على أن هذه البيانات يتم تخزينها محليًا على جهاز العميل فقط.