.
Eufy
Eufy, a marca Anker que posicionou suas câmeras de segurança como priorizando “armazenamento local” e “sem nuvens”, emitiu uma declaração em resposta às descobertas recentes de pesquisadores de segurança e sites de notícias de tecnologia. Eufy admite que poderia fazer melhor, mas também deixa alguns problemas sem solução.
Em um tópico intitulado “Re: reivindicações de segurança recentes contra a segurança eufy”, “eufy_official” escreve para seus “clientes e parceiros de segurança”. A Eufy está “adotando uma nova abordagem para a segurança doméstica”, escreve a empresa, projetada para operar localmente e “sempre que possível” para evitar servidores em nuvem. Imagens de vídeo, reconhecimento facial e biometria de identidade são gerenciados em dispositivos — “não na nuvem”.
Essa reiteração ocorre depois que perguntas foram levantadas algumas vezes nas últimas semanas sobre as políticas de nuvem da Eufy. Um pesquisador de segurança britânico descobriu no final de outubro que os alertas telefônicos enviados pelo Eufy eram armazenados em um servidor em nuvem, aparentemente sem criptografia, com dados de identificação facial incluídos. Outra empresa na época resumiu rapidamente dois anos de descobertas sobre a segurança do Eufy, observando transferências de arquivos não criptografados semelhantes.
Naquela época, a Eufy reconheceu o uso de servidores em nuvem para armazenar imagens em miniatura e que isso melhoraria sua linguagem de configuração para que os clientes que desejassem alertas móveis soubessem disso. A empresa não abordou outras reivindicações de analistas de segurança, incluindo que as transmissões de vídeo ao vivo poderiam ser acessadas por meio do VLC Media Player com o URL correto, cujo esquema de criptografia poderia ser forçado por força bruta.
Um dia depois, o site de tecnologia The Verge, trabalhando com um pesquisador, confirmou que um usuário não conectado a uma conta Eufy poderia assistir ao fluxo de uma câmera, dado o URL correto. Obter esse URL exigia um número de série (codificado em Base64), um registro de data e hora do Unix, um token aparentemente não validado e um valor hexadecimal de quatro dígitos.
A Eufy disse então que “discorda veementemente das acusações feitas contra a empresa sobre a segurança de nossos produtos”. Na semana passada, o The Verge informou que a empresa mudou notavelmente muitas de suas declarações e “promessas” de sua página de política de privacidade. A declaração de Eufy em seus próprios fóruns chegou ontem à noite.
A Eufy afirma que seu modelo de segurança “nunca foi tentado e esperamos desafios ao longo do caminho”, mas que continua comprometido com os clientes. A empresa reconhece que “várias reclamações foram feitas” contra sua segurança, e a necessidade de uma resposta frustrou os clientes. Mas, escreve a empresa, ela queria “reunir todos os fatos antes de abordar publicamente essas reivindicações”.
As respostas a essas reivindicações incluem Eufy observando que usa o Amazon Web Services para encaminhar notificações na nuvem. A imagem é criptografada de ponta a ponta e excluída logo após o envio, afirma Eufy, mas a empresa pretende notificar melhor os usuários e ajustar seu marketing.
Quanto à visualização de feeds ao vivo, Eufy afirma que “nenhum dado do usuário foi exposto e as possíveis falhas de segurança discutidas online são especulativas”. Mas Eufy acrescenta que desativou a visualização de transmissões ao vivo quando não está logado em um portal Eufy.
A Eufy afirma que a alegação de que está enviando dados de reconhecimento facial para a nuvem “não é verdadeira”. Todos os processos de identidade são tratados no hardware local e os usuários adicionam rostos reconhecidos aos seus dispositivos por meio de rede local ou conexões criptografadas ponto a ponto, afirma Eufy. Mas a Eufy observa que seu Video Doorbell Dual usou anteriormente “nosso servidor AWS seguro” para compartilhar essa imagem com outras câmeras em um sistema Eufy; esse recurso foi desativado desde então.
The Verge, que não recebeu respostas para mais perguntas sobre as práticas de segurança da Eufy após suas descobertas, tem algumas perguntas de acompanhamento, e elas são notáveis. Eles incluem por que a empresa negou que a visualização de um fluxo remoto fosse possível em primeiro lugar, suas políticas de solicitação de aplicação da lei e se a empresa estava realmente usando “ZXSecurity17Cam@” como uma chave de criptografia.
O pesquisador Paul Moore, que levantou algumas das primeiras questões sobre as práticas de Eufy, ainda não comentou diretamente sobre Eufy desde que ele postado no Twitter em 28 de novembro que ele teve “uma longa discussão com o departamento jurídico (da Eufy)”. Nesse ínterim, Moore começou a investigar outros sistemas de campainha de vídeo “somente locais” e os encontrou notavelmente não local. Um deles até parecia copiar a política de privacidade da Eufypalavra por palavra.
“Até agora, é mais seguro usar uma campainha que informa que está armazenada na nuvem – já que os honestos o suficiente para dizer geralmente usam criptografia sólida”, Moore escreveu sobre seus esforços. Alguns dos clientes mais entusiasmados e preocupados com a privacidade da Eufy podem concordar.
Listagem de imagem por Eufy
.
