.
Quando os pesquisadores de segurança descobriram que as câmeras supostamente sem nuvem da Eufy estavam carregando miniaturas com dados faciais para servidores na nuvem, a resposta da Eufy foi que foi um mal-entendido, uma falha em divulgar um aspecto de seu sistema de notificação móvel aos clientes.
Parece que há mais compreensão agora, e isso não é bom.
Eufy não respondeu a outras reivindicações do pesquisador de segurança Paul Moore e outros, incluindo que alguém poderia transmitir o feed de uma câmera Eufy no VLC Media Player, se você tivesse o URL correto. Ontem à noite, The Verge, trabalhando com o pesquisador de segurança “wasabi” que primeiro tuitou o problemaconfirmou que poderia acessar os fluxos da câmera Eufy, sem criptografia, por meio de um URL do servidor Eufy.
Isso torna as promessas de privacidade de Eufy de imagens que “nunca saem da segurança de sua casa”, são criptografadas de ponta a ponta e enviadas “diretamente para o seu telefone” altamente enganosas, se não totalmente duvidosas. Também contradiz um gerente sênior de relações públicas da Anker/Eufy, que disse ao The Verge que “não é possível” assistir a imagens usando uma ferramenta de terceiros como o VLC.
The Verge observa algumas ressalvas, semelhantes às aplicadas à miniatura hospedada na nuvem. Principalmente, você normalmente precisaria de um nome de usuário e senha para revelar e acessar o URL sem criptografia de um fluxo. “Tipicamente”, isto é, porque o URL do feed da câmera parece ser um esquema relativamente simples envolvendo o número de série da câmera em Base64, um registro de data e hora do Unix, um token que o The Verge diz não ser validado pelos servidores da Eufy e um código de quatro dígitos valor hexadecimal. Os números de série do Eufy geralmente têm 16 dígitos, mas também estão impressos em algumas caixas e podem ser obtidos em outros lugares.
Entramos em contato com Eufy e wasabi e atualizaremos esta postagem com mais informações. O pesquisador Paul Moore, que inicialmente levantou preocupações com o acesso à nuvem da Eufy, tuitou em 28 de novembro que ele teve “uma longa discussão com [Eufy’s] departamento jurídico” e não faria mais comentários até que pudesse fornecer uma atualização.
(Atualização, 17:42 ET: Ars conversou com wasabi, que confirmou que podia visualizar os fluxos de câmeras Eufy de sistemas fora de sua rede sem autenticação ou outros dispositivos Eufy naquele sistema. “Parece que o Eufy está tentando simplesmente impedir que as pessoas visualizem os dados que seu aplicativo (da web) envia, em vez de realmente corrigir o problema”, escreveram eles.
Wasabi também observou que, da maneira como os URLs remotos são configurados, existem apenas 65.535 combinações para tentar, “que um computador pode executar rapidamente”.)
A descoberta de vulnerabilidades é muito mais uma norma do que uma exceção nos campos de casa inteligente e segurança doméstica. Ring, Nest, Samsung, a câmera de reunião corporativa Owl – se ela tiver uma lente e se conectar ao Wi-Fi, você pode esperar que uma falha apareça em algum momento e as manchetes a acompanhem. A maioria dessas falhas é limitada em escopo, complicada para uma entidade maliciosa agir e, com divulgação responsável e uma resposta rápida, acabará por tornar os dispositivos e sistemas mais fortes.
A Eufy, neste caso, não parece a típica empresa de segurança em nuvem com uma vulnerabilidade típica. Uma página inteira de promessas de privacidade, incluindo alguns movimentos válidos e notavelmente bons, tornou-se amplamente irrelevante em uma semana.
Você poderia argumentar que qualquer pessoa que queira ser notificada sobre incidentes de câmera em seu telefone deve esperar que alguns servidores de nuvem estejam envolvidos. Você pode dar ao Eufy o benefício da dúvida de que os servidores em nuvem que você pode acessar com o URL correto são simplesmente um ponto de passagem para fluxos que precisam deixar a rede doméstica eventualmente sob um bloqueio de senha da conta.
Mas deve ser particularmente doloroso para os clientes que compraram os produtos da Eufy sob os auspícios de ter suas imagens armazenadas localmente, com segurança e de forma diferente das outras empresas baseadas em nuvem, apenas para ver a Eufy lutar para explicar sua própria dependência da nuvem para um dos maiores agências de notícias de tecnologia.
.
