Anker ยืนยันว่าหนึ่งในผลิตภัณฑ์กล้องรักษาความปลอดภัยของบริษัทมีข้อบกพร่องด้านความปลอดภัยอย่างร้ายแรง ซึ่งทำให้บุคคลที่สามที่ไม่ได้รับอนุญาตสามารถดูฟีดสดจากกล้องได้ นอกจากนี้ยังยืนยันว่าจะส่งการแจ้งเตือนแบบพุชบนมือถือด้วยใบหน้าของผู้คนผ่านระบบคลาวด์ไปยังปลายทางของผู้ใช้ (เปิดในแท็บใหม่)
Paul Moore นักวิจัยด้านความปลอดภัยเพิ่งค้นพบว่าสตรีมจากกล้อง Eufy Doorbell Dual (เป็นของ Anker) สามารถเข้าถึงได้ผ่านเว็บเบราว์เซอร์เพียงแค่รู้ URL ที่ถูกต้องโดยไม่ต้องใช้รหัสผ่าน
วิดีโอจากกล้องที่เข้ารหัสด้วย AES-128 ใช้คีย์ง่ายๆ ที่สามารถแคร็กได้ค่อนข้างง่าย มัวร์กล่าวในเวลานั้น พร้อมเสริมว่าแอปอัปโหลดภาพขนาดย่อไปยังคลาวด์ก่อนที่จะส่งไปยังแอปมือถือเป็นการแจ้งเตือน และกล้องกำลังอัปโหลดการจดจำใบหน้า ข้อมูลไปยัง AWS cloud อย่างชัดเจน
การยืนยันรายงานของผู้ตรวจสอบ
ขณะนี้ ในบล็อกโพสต์ (เปิดในแท็บใหม่) ในหัวข้อ "ถึงลูกค้าและคู่ค้าด้านความปลอดภัยของเรา" บริษัทได้ตอบสนองต่อข้อเรียกร้องเหล่านั้น โดยยืนยันบางส่วนแต่ปฏิเสธข้อเรียกร้องอื่นๆ
เกี่ยวกับการเข้าถึงฟีดของกล้อง ผู้ตรวจสอบพูดถูก “ฟีเจอร์ไลฟ์วิวของ eufy Security ในการทำงานเว็บพอร์ทัลทำให้เกิดช่องโหว่ด้านความปลอดภัย” บริษัทกล่าวก่อนเสริมว่าไม่มีการเปิดเผยข้อมูลผู้ใช้ “ช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นที่มีการพูดคุยทางออนไลน์นั้นเป็นการคาดเดา” โพสต์ในบล็อกกล่าว
อย่างไรก็ตาม บริษัทได้ทำการเปลี่ยนแปลงบางอย่าง โดยขณะนี้อนุญาตให้ผู้ใช้สามารถดูสตรีมสดผ่านทางเว็บได้ก็ต่อเมื่อเข้าสู่ระบบเว็บพอร์ทัล eufy.com เท่านั้น 3. "ผู้ใช้ไม่สามารถรับชมสตรีมสดได้อีกต่อไป (หรือแชร์ลิงก์ที่ใช้งานไปยังสตรีมสดเหล่านั้นได้อีกต่อไป) กับผู้อื่น) นอกพอร์ทัลเว็บที่ปลอดภัยของ eufy" เขากล่าว
Anker ยังยืนยันการใช้คลาวด์เพื่อส่งการแจ้งเตือนทางมือถือไปยังผู้ใช้ แม้ว่าจะกล่าวว่าฟีเจอร์นี้ "ตรงตามมาตรฐานอุตสาหกรรมทั้งหมด" แต่ก็มีการเปลี่ยนแปลงบางอย่าง: อัปเดตแอป eufy Security พร้อมคำอธิบายโดยละเอียดเพิ่มเติมเกี่ยวกับตัวเลือกการแจ้งเตือนแบบพุชต่างๆ และปรับปรุงคำชี้แจงสิทธิ์ส่วนบุคคลบน eufy.com 3 ซึ่งคาดว่าจะ จะออกฉาย "ปลายสัปดาห์นี้"
"นับจากนี้ไป นี่จะเป็นส่วนสำคัญของการปรับปรุงสำหรับทีมการตลาดและการสื่อสารของเรา และจะถูกเพิ่มลงในเว็บไซต์ นโยบายความเป็นส่วนตัว และเอกสารทางการตลาดอื่น ๆ ของเรา" บล็อกอธิบาย
ในที่สุด เขาได้กล่าวถึงข้อกังวลว่ากล้องจะส่งข้อมูลการจดจำใบหน้าไปยังคลาวด์ โดยระบุสั้นๆ ว่า "นั่นไม่เป็นความจริง"
“นี่คือความแตกต่างที่สำคัญสำหรับ eufy Security: กระบวนการจดจำใบหน้าและไบโอเมตริกซ์ทั้งหมดจะทำในอุปกรณ์ของผู้ใช้ ข้อมูลนี้จะไม่ประมวลผลในระบบคลาวด์
บริษัทถูกวิพากษ์วิจารณ์จากนักวิจัยด้านความปลอดภัยและสื่อต่างๆ เนื่องจากขาดการสื่อสาร ซึ่งเป็นสิ่งที่ตั้งใจที่จะแก้ไขด้วยการอัปเดตนี้:
“นับจากนี้ไป เราจะต้องสร้างสมดุลระหว่างความต้องการของเราในการรับ 'ข้อเท็จจริงทั้งหมด' ให้ดีขึ้น กับภาระหน้าที่ของเราในการแจ้งให้ลูกค้าทราบอย่างรวดเร็วยิ่งขึ้น” เขากล่าว