Um pesquisador de segurança descobriu que as câmeras de segurança da eufy, uma marca da Anker, podem enviar imagens e informações do usuário para a nuvem (sem o consentimento dos proprietários) mesmo sem uma assinatura para armazenamento online.
O consultor de segurança Paul Moore descobriu que seu Doorbell Dual estava fazendo o upload de dados para a nuvem, apesar de ter desativado a funcionalidade. Moore divulgou o vídeo abaixo no YouTube para demonstrar e explicar o que havia encontrado.
No vídeo, Moore mostrou como, mesmo depois de desligar sua central, ainda pôde acessar uma imagem que foi carregada — mesmo depois ele removê-la do aplicativo Eufy Security. Ao que tudo indica, o conteúdo não é enviado como vídeo, mas sim como uma série de miniaturas.
No seu Twitter, o consultor deu continuidade ao caso, observando também que as imagens das câmeras podem ser assistidas ao vivo usando um aplicativo — como o VLC —, embora ele não tenha fornecido informações sobre como isso é possível, por segurança. Além disso, Moore observou que os envios não são criptografados e podem ser acessados sem autenticação — o que é bastante preocupante.
Você pode iniciar remotamente um stream e assistir às câmeras @EufyOfficial ao vivo usando o VLC. Sem autenticação, sem criptografia.
Por favor, não peça uma PoC — não posso liberar isso.
Atenção @TechLinkedYT @LinusTech
A eufy também parece estar usando reconhecimento facial nos uploads. Moore supôs que a empresa poderia vincular os dados de reconhecimento facial coletados de várias câmeras e aplicativos aos usuários — sem o conhecimento ou consentimento.
Após a divulgação, a eufy entrou em contato com a Moore confirmando o upload de miniaturas para o Amazon Web Services. No entanto, a empresa disse que os dados não podem ser vazados, pois a URL usada para visualizá-los fica disponível apenas por um curto período de tempo e requer um login.
Parafraseando…
“Você está certo, nós enviamos [as imagens] para a nuvem, mas é protegido por senha, portanto não visível publicamente… mas pretendemos criptografar as mensagens da API para que ninguém mais descubra”.
Perdeu completa e totalmente o ponto.
Moore também relatou postou que “teve uma longa discussão com o departamento jurídico da eufy”. Ele afirmou que seria “apropriado nesta fase dar-lhes tempo para investigar e tomar as medidas adequadas” e que não poderia fazer mais comentários. A empresa, por outro lado, tomou algumas medidas que foram contra as expectativas do pesquisador.
Parece que eles removeram a ligação em segundo plano que revela as imagens armazenadas — mas não a filmagem em si.
Eles também criptografaram outras ligações para torná-las quase impossíveis de detectar.
NÃO é assim que deve ser tratado.
Vale notar que essa não é a primeira vez que a eufy é criticada por falhas de segurança em seus produtos: no começo de 2021, alguns usuários descobriram que as câmeras de outras pessoas podiam ser visualizadas em seu aplicativo — em vez das suas próprias câmeras — e as configurações poderiam ser alteradas por aqueles com acesso falso.
via 9to5Google
