Anker, 2011’de Silikon Vadisinde kurulan ve şarj cihazları, kulaklıklar, taşınabilir projeksiyon ve akıllı ev ürünleri üreten bir firma. 2018 yılında da Türk pazarına girdi. Diğer benzer firmalar gibi mahremiyet taahhüdü bulunuyor: verilerinizin yerel olarak saklanacağını, evinizin güvenliğini sağlayacağını, görüntülerinin yalnızca “uçtan uca” askeri düzeyde şifreleme ile iletileceğini ve bu görüntüleri yalnızca sizin göreceğinizi yani sadece sizin telefonunuza geleceğini söylüyor.
Ama bunun doğru olmadığı ortaya çıktı; Eufy kameralar, video akışını hiçbir şifreleme olmadan gerçekleştiriyormuş. Geçen ay güvenlik araştırmacısı Paul Moore ve bir bilgisayar korsanı, Anker’in Eufy kameralarının ücretsiz VLC Media Player ile Eufy’nin bulut sunucularındaki benzersiz bir adrese bağlanarak bulut üzerinden şifrelemesiz akış sağlayabildiğini iddia etti.
Anker ilk etapta bunu doğrulamadı. Ancak arkasından pek çok kişi şifreleme olmadığını raporladı.
Anker Blog Yayınladı
Anker nihayet evvelki gün “eufy Security’ye karşı son güvenlik iddiaları” başlıklı bir blog gönderisi yayınladı. Bu gönderide video gösterimlerin şifrelenmediğini kabul ediyor ve şöyle diyor;
“eufy Security’nin Web Portalı Özelliğindeki Canlı Görüntü Özelliği Bir Güvenlik Kusuruna Sahiptir”
Ayrıca Gönderide, Eufy’nin push bildirimleri sunabilmesi için kullanıcıları bilgilendirmeden kameralarından yüz resimleri de dahil olmak üzere küçük resimleri yüklediği gibi güvenlik araştırmacılarının gündeme getirdiği diğer bazı endişeleri de ele alıyor. Anker, bu görüntülerin uçtan uca şifreleme ile korunduğunu söylüyor ve artık müşterilerin, uygulamasının güncellenmiş bir sürümünde yerel veya bulut push bildirimleri seçeneğine sahip olduklarının farkına vardığını yineliyor.
Açıklamanın tamamı şu şekilde;
19 Aralık 2022
RE: eufy Security’ye karşı son güvenlik iddiaları
eufy Security Müşterilerimize ve İş Ortaklarımıza:
Eufy Security’de ev güvenliğine yeni bir yaklaşım getiriyoruz. Güvenlik çözümlerimiz yerel olarak çalışacak ve mümkün olan her yerde bulutu kullanmaktan kaçınacak şekilde tasarlanmıştır. Buna, kullanıcı video çekimlerinin yerel olarak depolanması ve yüz tanıma ve kimlik biyometrisi gibi temel süreçlerin doğrudan kullanıcının cihazındaki çipten yönetilmesi dahildir. Bulut değil.
Bu, bulutun güvenlik çözümlerinin ve iş modellerinin merkezi bir parçası olduğu ev güvenlik endüstrisindeki diğerlerinden çok farklı bir yaklaşımdır.
Güvenlik teknolojisi modelimiz hiç denenmedi ve yol boyunca zorluklar bekliyoruz. Ancak güvenliklerini, mahremiyetlerini ve kimliklerini korumaya yardımcı olması için eufy Security’yi seçen dünya çapındaki milyonlarca tüketiciye bağlılığımızı sürdürüyoruz.
Son birkaç hafta içinde eufy Security’ye karşı birkaç iddiada bulunuldu. Bu konularda daha doğrudan ve zamanında iletişim ihtiyacının birçok müşteriyi hayal kırıklığına uğrattığını biliyoruz. Ancak, son birkaç haftayı bu olası tehditleri araştırmak ve bu iddiaları kamuya açıklamadan önce tüm gerçekleri toplamak için kullanıyoruz.
İleriye dönük olarak, “tüm gerçekleri” öğrenme ihtiyacımız ile müşterilerimizi daha hızlı bilgilendirme yükümlülüğümüz arasında daha iyi bir denge kurmamız gerekecek.
Aşağıda, gerçeği kurgudan daha iyi ayırmaya ve politikalarımızda, süreçlerimizde ve güvenlik çözümlerimizde yaptığımız değişiklikler hakkında daha fazla ayrıntı sağlamaya çalışacağız.
eufy Security, Kullanıcılara Mobil Anlık Bildirimler Göndermek için Bulutu Kullanır .
Bu doğru. Daha önce de belirtildiği gibi eufy Security, mümkün olan her yerde güvenlik süreçlerimizde bulut kullanımını azaltmaya kararlıdır. Ancak günümüzde bazı işlemler hala güvenli AWS sunucumuzu kullanmamızı gerektiriyor.
Örneğin, güvenlik push bildirimleri söz konusu olduğunda – kullanıcı bu güvenlik bildirimine bir küçük resim eklemeyi seçtiğinde – güvenlik olayının küçük bir önizleme görüntüsü güvenli AWS sunucumuza gönderilir ve ardından kullanıcının telefonuna gönderilir. Bu görüntü, uçtan uca şifreleme ile korunur ve push bildirimi gönderildikten kısa bir süre sonra silinir. Bu süreç aynı zamanda tüm endüstri standartlarına uygundur.
eufy Security uygulamasını, farklı anlık bildirim seçeneklerine ve hangi seçeneklerin güvenli AWS sunucumuzun kullanılmasını gerektirdiğine ilişkin daha ayrıntılı bir açıklamayla güncelledik. Bu, kullanıcılarımızın daha bilinçli bir karar vermesine yardımcı olacaktır.
Bunun yeterli olmadığını anlıyoruz. Bulut kullanımını azaltmaya odaklanmış bir şirket olarak, hangi süreçlerimizin yerel olarak yapıldığı ve hangilerinin güvenli AWS sunucumuzun kullanılmasını gerektirdiği konusunda daha net olmalıyız. Bu, eufy.com’daki gözden geçirilmiş bir Gizlilik Bildirimini içerir 3, bu hafta daha sonra yayınlayacağız.
İleride bu, pazarlama ve iletişim ekiplerimiz için önemli bir iyileştirme alanı olacak ve web sitemize, gizlilik politikalarımıza ve diğer pazarlama materyallerimize eklenecektir.
eufy Security’nin Web-Portal Özelliğindeki Canlı Görüntü Özelliği Bir Güvenlik Kusuruna Sahiptir
İlk olarak, hiçbir kullanıcı verisi açığa çıkmadı ve çevrimiçi olarak tartışılan olası güvenlik açıkları spekülatif. Ancak, iyileştirilmesi gereken bazı önemli alanlar olduğu konusunda hemfikiriz. Bu nedenle aşağıdaki değişiklikleri yaptık.
Bugün, kullanıcılar hala eufy.com’umuza giriş yapabilirler. 3Kameralarının canlı akışlarını görüntülemek için web portalı. Ancak, kullanıcılar artık eufy’nin güvenli Web portalı dışında canlı akışları görüntüleyemez (veya bu canlı akışlara yönelik etkin bağlantıları başkalarıyla paylaşamaz). Bu bağlantıları görmek isteyen herkes önce eufy.com’a giriş yapmalıdır. 3Web portalı.
Bu özelliği geliştirmenin yollarını aramaya devam edeceğiz.
eufy, Yüz Tanıma Verilerini Buluta mı gönderiyor ?
Bu doğru değil. Bu, eufy Security’nin önemli bir ayırt edici özelliğidir – tüm yüz tanıma ve biyometrik işlemler, kullanıcının cihazında yerel olarak tamamlanır. Bu bilgiler asla bulutta işlenmez.
Adımlar, kullanıcılar eufy Security yüz tanıma sistemlerine yeni bir kişi eklemek istediklerinde nelerin gerçekleştiğini detaylandırır.
Kullanıcı, önce eufy Security uygulamasını kullanarak bu yeni kişinin bir görüntüsünü kendi güvenlik cihazında paylaşmalıdır.
Bu kullanıcı, güvenlik cihazıyla aynı Wi-Fi üzerindeyse, bu görüntü, eufy Security uygulamasından güvenli bir yerel bağlantı (LAN) aracılığıyla doğrudan söz konusu güvenlik cihazına gönderilir.
Kullanıcı güvenlik cihazıyla aynı Wi-Fi ağında değilse (veya evde değilse), görüntü internet üzerinden doğrudan P2P bağlantısı kullanılarak eufy Security uygulamasından güvenlik cihazına güvenli bir şekilde gönderilir.
Önceden, eufy Video Doorbell Dual, bu ilk görüntüyü kullanıcının yerel eufy Security sistemindeki diğer kameralarla paylaşmak için güvenli AWS sunucumuzu kullanıyordu. Bugün, eufy’nin Görüntülü Kapı Zili Dual’i, yukarıda özetlenen aynı LAN/P2P sürecini kullanacak şekilde yükseltildi.
Topluluğumuzun ürünlerimize, hizmetlerimize ve süreçlerimize olan güvenini sürdürmek için çok çalışmaya kararlıyız ve çok çalışmaya devam edeceğiz.
sabrınız ve anlayışınız için teşekkür ederiz.
eufy Güvenlik Ekibi