O melhor pedaço da Maçã.

Câmeras da eufy podem armazenar imagens sem permissão

CNET
Doorbell da Eufy

Um pesquisador de segurança descobriu que as câmeras de segurança da eufy, uma marca da Anker, podem enviar imagens e informações do usuário para a nuvem (sem o consentimento dos proprietários) mesmo sem uma assinatura para armazenamento online.

Publicidade

O consultor de segurança Paul Moore descobriu que seu Doorbell Dual estava fazendo o upload de dados para a nuvem, apesar de ter desativado a funcionalidade. Moore divulgou o vídeo abaixo no YouTube para demonstrar e explicar o que havia encontrado.

YouTube video

No vídeo, Moore mostrou como, mesmo depois de desligar sua central, ainda pôde acessar uma imagem que foi carregada — mesmo depois ele removê-la do aplicativo Eufy Security. Ao que tudo indica, o conteúdo não é enviado como vídeo, mas sim como uma série de miniaturas.

No seu Twitter, o consultor deu continuidade ao caso, observando também que as imagens das câmeras podem ser assistidas ao vivo usando um aplicativo — como o VLC —, embora ele não tenha fornecido informações sobre como isso é possível, por segurança. Além disso, Moore observou que os envios não são criptografados e podem ser acessados ​​sem autenticação — o que é bastante preocupante.

Ah, bem, não é mais segredo… então também posso dizer a você.
Você pode iniciar remotamente um stream e assistir às câmeras @EufyOfficial ao vivo usando o VLC. Sem autenticação, sem criptografia.
Por favor, não peça uma PoC — não posso liberar isso.
Atenção @TechLinkedYT @LinusTech

A eufy também parece estar usando reconhecimento facial nos uploads. Moore supôs que a empresa poderia vincular os dados de reconhecimento facial coletados de várias câmeras e aplicativos aos usuários — sem o conhecimento ou consentimento.

Publicidade

Após a divulgação, a eufy entrou em contato com a Moore confirmando o upload de miniaturas para o Amazon Web Services. No entanto, a empresa disse que os dados não podem ser vazados, pois a URL usada para visualizá-los fica disponível apenas por um curto período de tempo e requer um login.

Atualização: uma resposta oficial da @EufyOfficial
Parafraseando…
“Você está certo, nós enviamos [as imagens] para a nuvem, mas é protegido por senha, portanto não visível publicamente… mas pretendemos criptografar as mensagens da API para que ninguém mais descubra”.
Perdeu completa e totalmente o ponto.

Moore também relatou postou que “teve uma longa discussão com o departamento jurídico da eufy”. Ele afirmou que seria “apropriado nesta fase dar-lhes tempo para investigar e tomar as medidas adequadas” e que não poderia fazer mais comentários. A empresa, por outro lado, tomou algumas medidas que foram contra as expectativas do pesquisador.

Atualização rápida sobre a situação da #eufy…
Parece que eles removeram a ligação em segundo plano que revela as imagens armazenadas — mas não a filmagem em si.
Eles também criptografaram outras ligações para torná-las quase impossíveis de detectar.
NÃO é assim que deve ser tratado.

Vale notar que essa não é a primeira vez que a eufy é criticada por falhas de segurança em seus produtos: no começo de 2021, alguns usuários descobriram que as câmeras de outras pessoas podiam ser visualizadas em seu aplicativo — em vez das suas próprias câmeras — e as configurações poderiam ser alteradas por aqueles com acesso falso.

via 9to5Google

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

Supostos benchmarks do chip “M2 Max” são revelados

Próx. Post

WhatsApp para iOS mostrará Androids conectados à conta

Posts Relacionados