Um pesquisador de segurança descobriu que as câmeras de segurança da eufy, uma marca da Anker, podem enviar imagens e informações do usuário para a nuvem (sem o consentimento dos proprietários) mesmo sem uma assinatura para armazenamento online.
O consultor de segurança Paul Moore descobriu que seu Doorbell Dual estava fazendo o upload de dados para a nuvem, apesar de ter desativado a funcionalidade. Moore divulgou o vídeo abaixo no YouTube para demonstrar e explicar o que havia encontrado.
No vídeo, Moore mostrou como, mesmo depois de desligar sua central, ainda pôde acessar uma imagem que foi carregada — mesmo depois ele removê-la do aplicativo Eufy Security. Ao que tudo indica, o conteúdo não é enviado como vídeo, mas sim como uma série de miniaturas.
No seu Twitter, o consultor deu continuidade ao caso, observando também que as imagens das câmeras podem ser assistidas ao vivo usando um aplicativo — como o VLC —, embora ele não tenha fornecido informações sobre como isso é possível, por segurança. Além disso, Moore observou que os envios não são criptografados e podem ser acessados sem autenticação — o que é bastante preocupante.
A eufy também parece estar usando reconhecimento facial nos uploads. Moore supôs que a empresa poderia vincular os dados de reconhecimento facial coletados de várias câmeras e aplicativos aos usuários — sem o conhecimento ou consentimento.
Após a divulgação, a eufy entrou em contato com a Moore confirmando o upload de miniaturas para o Amazon Web Services. No entanto, a empresa disse que os dados não podem ser vazados, pois a URL usada para visualizá-los fica disponível apenas por um curto período de tempo e requer um login.
Moore também relatou postou que “teve uma longa discussão com o departamento jurídico da eufy”. Ele afirmou que seria “apropriado nesta fase dar-lhes tempo para investigar e tomar as medidas adequadas” e que não poderia fazer mais comentários. A empresa, por outro lado, tomou algumas medidas que foram contra as expectativas do pesquisador.
Vale notar que essa não é a primeira vez que a eufy é criticada por falhas de segurança em seus produtos: no começo de 2021, alguns usuários descobriram que as câmeras de outras pessoas podiam ser visualizadas em seu aplicativo — em vez das suas próprias câmeras — e as configurações poderiam ser alteradas por aqueles com acesso falso.
via 9to5Google