.
As alegações de Eufy de manter a “privacidade em suas próprias mãos” foram anuladas, depois que um pesquisador pegou a empresa de câmeras de segurança carregando imagens apenas locais para a nuvem sem autorização ou conhecimento do usuário. Para completar, os usuários também foram informados de que você pode assistir a streams de câmeras usando o VLC sem autenticação.
Paul Moore, um pesquisador de segurança, foi o primeiro a expor a falha de segurança nos dados locais armazenados na nuvem. Ele apontou no vídeo abaixo que, embora a Eufy Security afirme tomar “todos os passos imagináveis” para manter os dados de seus usuários privados e locais, ele ainda envia não apenas miniaturas de vídeo para servidores em nuvem, mas também fotos dos rostos das pessoas detectadas no vídeo e dados de identificação do usuário.
Também: Esses tipos de arquivo são os mais comumente usados por hackers para ocultar seu malware
A Eufy defende manter os dados de vídeo capturados no HomeBase, que é como um hub doméstico inteligente com esteróides. O HomeBase se conecta a dispositivos Eufy em sua casa e armazena os dados nele, para que seus vídeos e fotos permaneçam locais e você não precise pagar por serviços de nuvem como faria com outras empresas, como Anel.
É popular entre os entusiastas de casas inteligentes por causa desse recurso: seus vídeos e quaisquer dados pertinentes ficam seguros em sua casa, salvos apenas na unidade de memória do HomeBase e/ou em um HDD ou SSD adicionado.
Moore testou isso caminhando até sua Eufy Video Campainha Duplaaguardando a notificação aparecer em seu telefone e, em seguida, desconectando o HomeBase.
Moore apontou que, uma vez que seu HomeBase estava offline, duas fotos permaneceram no servidor de nuvem AWS: uma do vídeo em miniatura e outra de seu rosto quando a câmera da campainha detectou uma pessoa, bem como informações de identificação do usuário. O vídeo não estava mais disponível no aplicativo móvel de seu telefone, é claro, pois o HomeBase estava inacessível.
Eufy respondeu admitindo o problema e apontando que as imagens são usadas apenas para notificações e imediatamente excluídas do servidor quando o usuário exclui os eventos. No entanto, depois que ele excluiu os eventos de seu aplicativo Eufy Security, as imagens ainda foram deixadas no servidor.
Para completar, outros usuários expuseram que qualquer pessoa poderia acessar uma câmera Eufy sem autenticação ou criptografia usando o VLC remotamente.
Desde que essas alegações foram divulgadas, o The Verge disse que tentou isso com sucesso, “provando que Anker tem uma maneira de contornar a criptografia e acessar essas câmeras supostamente seguras por meio da nuvem”.
Isso significa que o Eufy não é seguro?
De acordo com um email da Eufy Security para Moore, o HomeBase 3 está isento de usar o servidor de nuvem AWS para fazer upload de capturas de tela de eventos devido a um “banco de dados de alto desempenho” feito no dispositivo.
Desconectar o HomeBase é como desconectar uma unidade flash USB do computador: o que estiver na unidade flash não estará mais disponível no computador quando for removido.
Eufy deve ter a verificação de pulsação de que, uma vez que o HomeBase esteja offline, todas as capturas de tela feitas serão excluídas desse perfil. No mínimo, um aviso de isenção de responsabilidade deve aparecer quando você habilitar instantâneos em suas notificações para dizer que essas imagens seriam armazenadas em um servidor em nuvem, se habilitadas.
No que diz respeito a outra pessoa acessando os fluxos da câmera Eufy remotamente? Tudo o que posso dizer é que estou mantendo minhas câmeras Eufy fora de casa por enquanto.
.
