image featured from : unsplash.com
Eufy, merek Anker yang memposisikan kamera keamanannya sebagai prioritas “penyimpanan lokal” dan “Tanpa cloud”, telah mengeluarkan pernyataan sebagai tanggapan atas temuan terbaru oleh peneliti keamanan dan situs berita teknologi. Eufy mengakui itu bisa lebih baik tetapi juga membiarkan beberapa masalah tidak terselesaikan.
Dalam utas berjudul “Re: Klaim keamanan terkini terhadap eufy Security”, “eufy_official” menulis kepada “Pelanggan dan Mitra Keamanan”. Eufy “mengambil pendekatan baru untuk keamanan rumah,” tulis perusahaan itu, yang dirancang untuk beroperasi secara lokal dan “sedapat mungkin” untuk menghindari server cloud. Rekaman video, pengenalan wajah, dan biometrik identitas dikelola di perangkat “Bukan cloud”.
Pengulangan ini muncul setelah pertanyaan diajukan beberapa kali dalam beberapa minggu terakhir tentang kebijakan cloud Eufy. Seorang peneliti keamanan Inggris menemukan pada akhir Oktober bahwa peringatan telepon yang dikirim dari Eufy disimpan di server cloud, tampaknya tidak terenkripsi, dengan menyertakan data identifikasi wajah. Perusahaan lain pada waktu itu dengan cepat meringkas temuan dua tahun tentang keamanan Eufy, mencatat transfer file serupa yang tidak terenkripsi.
Pada saat itu, Eufy mengakui menggunakan server cloud untuk menyimpan gambar mini, dan itu akan meningkatkan bahasa penyiapannya sehingga pelanggan yang menginginkan peringatan seluler mengetahui hal ini. Perusahaan tidak membahas klaim lain dari analis keamanan, termasuk bahwa streaming video langsung dapat diakses melalui VLC Media Player dengan URL yang tepat, yang skema enkripsinya berpotensi dipaksa secara brutal.
Sehari kemudian, situs teknologi The Verge, bekerja sama dengan seorang peneliti, mengonfirmasi bahwa pengguna yang tidak masuk ke akun Eufy dapat menonton streaming kamera, dengan URL yang benar. Mendapatkan URL itu memerlukan nomor seri (dikodekan dalam Base64), stempel waktu Unix, token yang tampaknya tidak divalidasi, dan nilai hex empat digit.
Eufy mengatakan kemudian “dengan tegas tidak setuju dengan tuduhan yang dikenakan terhadap perusahaan mengenai keamanan produk kami.” Pekan lalu, The Verge melaporkan bahwa perusahaan secara khusus mengubah banyak pernyataan dan “janji” dari halaman kebijakan privasinya. Pernyataan Eufy di forumnya sendiri tiba tadi malam.
Eufy menyatakan model keamanannya “belum pernah dicoba, dan kami mengharapkan tantangan di sepanjang jalan”, tetapi tetap berkomitmen untuk pelanggan. Perusahaan mengakui bahwa “Beberapa klaim telah dibuat” terhadap keamanannya, dan perlunya tanggapan telah membuat pelanggan frustrasi. Tapi, tulis perusahaan itu, mereka ingin “mengumpulkan semua fakta sebelum secara terbuka menangani klaim ini.”
Tanggapan terhadap klaim tersebut termasuk Eufy mencatat bahwa ia menggunakan Layanan Web Amazon untuk meneruskan pemberitahuan cloud. Gambar itu dienkripsi ujung ke ujung dan dihapus segera setelah dikirim, kata Eufy, tetapi perusahaan bermaksud untuk memberi tahu pengguna dengan lebih baik dan menyesuaikan pemasarannya.
Untuk melihat umpan langsung, Eufy mengklaim bahwa “tidak ada data pengguna yang terungkap, dan potensi kelemahan keamanan yang dibahas secara online bersifat spekulatif.” Tapi Eufy menambahkan itu telah menonaktifkan tampilan streaming langsung saat tidak masuk ke portal Eufy.
Eufy menyatakan bahwa klaim yang dikirimnya data pengenalan wajah ke cloud “tidak benar”. Semua proses identitas ditangani pada perangkat keras lokal, dan pengguna menambahkan wajah yang dikenali ke perangkat mereka melalui jaringan lokal atau koneksi terenkripsi peer-to-peer, klaim Eufy. Tapi Eufy mencatat bahwa Video Doorbell Dual sebelumnya menggunakan “server AWS kami yang aman” untuk membagikan gambar itu ke kamera lain di sistem Eufy; fitur itu telah dinonaktifkan.
The Verge, yang belum menerima jawaban atas pertanyaan lebih lanjut tentang praktik keamanan Eufy setelah temuannya, memiliki beberapa pertanyaan lanjutan, dan mereka terkenal. Itu termasuk mengapa perusahaan menyangkal bahwa melihat streaming jarak jauh dimungkinkan sejak awal, kebijakan permintaan penegakan hukumnya, dan apakah perusahaan benar-benar menggunakan “ZXSecurity17Cam@” sebagai kunci enkripsi.
Peneliti Paul Moore, yang mengajukan beberapa pertanyaan paling awal tentang praktik Eufy, belum berkomentar langsung tentang Eufy sejak dia memposting di Twitter pada 28 November bahwa dia melakukan “diskusi panjang dengan departemen hukum (Eufy).” Sementara itu, Moore telah menyelidiki sistem bel pintu video “khusus lokal” lainnya dan menemukan bahwa sistem tersebut bukan lokal. Salah satunya bahkan sepertinya menyalin kebijakan privasi Eufy, kata demi kata.
“Sejauh ini, lebih aman menggunakan bel pintu yang memberi tahu Anda bahwa itu disimpan di cloud karena yang cukup jujur untuk memberi tahu Anda umumnya menggunakan crypto padat,” tulis Moore tentang usahanya. Beberapa pelanggan Eufy yang paling antusias dan berpikiran privasi mungkin setuju.
Milano – UKDW 2018
Be the first to comment