За последние несколько недель выяснилось, что камеры безопасности и видеодомофоны Eufy имели явные проблемы с безопасностью, а также напрямую нарушали маркетинговые обещания конфиденциальности. Сегодня бренд *наконец* публично признал эти проблемы, хотя и преуменьшил некоторые ключевые аспекты ситуации.
В сообщении, опубликованном на форумах сообщества под названием «Нашим клиентам и партнерам Eufy Security», бренд Anker публично признал различные проблемы, обнаруженные за последние несколько недель.
Прежде всего, Eufy вновь подтверждает, что использует облако, несмотря на первоначальные маркетинговые заявления об обратном, для отправки push-уведомлений пользователям через Android и iOS. Компания изначально позиционировала свои камеры как «только локальные», не раскрывая, что данные будут передаваться в облако в любом объеме. Как упоминается в новом посте в блоге, приложение Eufy Security было обновлено, чтобы включить это раскрытие, а с его веб-сайта были удалены подобные заявления. Eufy объясняет:
Как упоминалось ранее, eufy Security стремится максимально сократить использование облака в наших процессах безопасности. Однако некоторые процессы сегодня по-прежнему требуют использования нашего безопасного сервера AWS.
Например, в случае push-уведомлений о безопасности – когда пользователь выбрал включение миниатюры в это уведомление о безопасности – небольшое предварительное изображение события безопасности отправляется на наш безопасный сервер AWS, а затем доставляется на телефон пользователя. Это изображение защищено сквозным шифрованием и удаляется вскоре после отправки push-уведомления. Этот процесс также соответствует всем отраслевым стандартам.
Мы обновили приложение eufy Security, добавив более подробное описание различных опций push-уведомлений и какие из них требуют использования нашего безопасного сервера AWS. Это поможет нашим пользователям принять более обоснованное решение.
Но помимо этого, в посте в блоге фактически нет никаких извинений или признания более серьезных проблем. Eufy напрямую заявляет, что функции распознавания лиц и биометрической обработки «выполняются локально» и «никогда не обрабатываются в облаке», несмотря на то, что исследователь безопасности обнаружил обратное.
Также нет никаких подтверждений того, что множество пользователей и журналистов смогли просматривать прямые трансляции с камер Eufy в VLC Media Player, что, по словам компании, невозможно. Однако, как отмечает *The Verge*, в посте *прямо говорится*, что «функция Live View Eufy [Security] на ее веб-портале имеет уязвимость безопасности» жирным шрифтом, и Eufy ни разу не опровергает это. В посте лишь говорится, что компания «будет продолжать искать способы улучшения этой функции».
Eufy также признает, что этот пост и ответы на вопросы, касающиеся всей этой ситуации, поступили слишком медленно. Компания заявляет, что знает «о необходимости более прямого и своевременного общения по этим вопросам».
Больше о Eufy:
- Eufy уличена во лжи о локальных камерах безопасности с передачей данных в облако, доступных в незашифрованных потоках
- Eufy удаляет обещания «только локального» использования после того, как ее уличили во лжи
- Eufy добавит раскрытие информации в свое приложение после проблем с безопасностью, но по-прежнему отрицает явные дыры в безопасности