Laadukkaaksi laitevalmistajaksi mielletyn Ankerin Eufy-sarjan valvontakameroissa on ilmennyt todella hälyttävä tietoturva- ja tietosuojaongelma. Eufy-kameroita myydään myös Suomessa.
Anker mainostaa, että kameroiden kuvaama materiaali pysyy paikallisesti käyttäjällä, ja että käyttäjän puhelimeen lähetettävä suora videolähetys on päästä päähän salattu, eikä sivullisilla ole siihen pääsyä. Totuus on kuitenkin toinen, uutisoi The Verge.
Ongelmista on raportoinut tietoturvakonsultti Paul Moore sekä nimimerkkiä Wasabi käyttävä valkohattuhakkeri. Heidän mukaansa Eufy-kamerat lähettävät materiaalia pilveen, vaikka käyttäjä ei olisi pilveä valinnut asetuksista käyttöönsä.
Mikä pahinta, tuo verkkoon menevä materiaali ei suinkaan ole salattua, vaan sitä pääsee verkon yli katselemaan maksuttomalla ja hyvin yleisesti käytetyllä VLC Media Player -sovelluksella. Katseluun ei tarvita muuta kuin yksilöllinen verkko-osoite, joka johtaa Ankerin pilvipalvelimelle.
Huolestuttavaa on sekin, että valmistaja itse suoraan kiisti ongelman olemassaolon, kun Verge aiheesta kysyi. Vergen toimittajat kuitenkin todistivat itse ongelman katselemalla kahden oman kameransa lähetystä halki Yhdysvaltojen.
Lieventävä asianhaara on se, että kameran pitää olla hereillä, siis aktiivisesti kuvaamassa. Salakatselija ei siis voi käynnistää lepotilassa olevaa kameraa etänä. Tiedossa ei myöskään ole, että rikolliset olisivat salakatselua missään harjoittaneet.
Pahoja merkkejä puolestaan löytyy Ankerin tavasta hoitaa kameroiden ja pilvensä tietoturvaa. Kävi ilmi, että pilven yli katseltavan videolähetyksen yksilöllinen verkko-osoite pohjautuu hyvin pitkälti kameran sarjanumeroon. Kameroiden sarjanumeroita taas voi utelias kirjata talteen vaikkapa elektroniikkaliikkeessä, sillä ne on merkitty pakkauksiin ulkopuolelle. Kaiken kaikkiaan lähetys on suojattu hyvin heikosti ja osoite on selvitettävissä vähäisellä askartelulla.
The Verge mainitsee, että koko jupakka alkoi siitä, kun Moore alkoi Twitterissä osoittaa Ankerin kameroiden huonoa suojausta jo aiemmin marraskuussa. Mooren mukaan Ankerin Eufy-palvelu rikkoo lupauksiaan, kun se esimerkiksi lähettää tunnistettavia kasvokuvia pilveen ilman käyttäjän suostumusta, eikä ole asianmukaisesti tuhonnut tallentamaansa yksityistä dataa.