.
Eufy
Eufy, uma marca de casa inteligente da empresa de acessórios de tecnologia Anker, tornou-se popular entre alguns compradores de câmeras de segurança preocupados com a privacidade. A câmera da campainha e outros dispositivos proclamavam orgulhosamente “Sem nuvens ou custos” e que “ninguém tem acesso aos seus dados além de você”.
É por isso que a série de tweets e vídeos do consultor de segurança e pesquisador Paul Moore, demonstrando que as câmeras Eufy estavam carregando imagens em miniatura marcadas com nomes para servidores em nuvem para alertar os telefones dos proprietários, provavelmente não criptografados, incomodaram tanto os entusiastas de casa inteligente e segurança esta semana.
Moore, residente no Reino Unido, começou fazendo perguntas retóricas a Eufy sobre suas práticas no Twitter a partir de 21 de novembro. “Por que meu ‘armazenamento local’ #doorbellDual está armazenando todos os rostos, sem criptografia, em seus servidores? Por que posso transmitir minha câmera sem #autenticação ?!” Moore também postou linhas de “código-fonte e respostas da API” que sugeria que uma chave AES muito fraca estava sendo usada para criptografar imagens de vídeo.
Em 23 de novembro, Moore carregou um vídeo que demonstrava suas descobertas. Com seu Eufy Homebase desconectado, Moore caminhou na frente de sua câmera. De um navegador anônimo, Moore poderia obter uma imagem em miniatura de si mesmo, uma imagem do feed pouco antes de ficar visível e – talvez mais preocupante – números de identificação indicando seu rosto reconhecido e seu status como proprietário da câmera.
O vídeo do pesquisador de segurança Paul Moore detalhando os uploads silenciosos de miniaturas e nomes de Eufy (de reconhecimento facial) para um servidor em nuvem.
Um dia depois, a empresa de segurança SEC Consult resumiu dois anos de análise de uma EufyCam 2, observando uma transferência semelhante de miniaturas por meio de uma nuvem Amazon Web Services. A empresa também viu as chaves fracas, sugerindo “chaves de criptografia/descriptografia codificadas que são idênticas para todos os dispositivos Homebase vendidos”, embora não estivesse claro para que chaves estavam sendo usadas.
A SEC Consult observou que a Eufy parecia ter reforçado sua segurança desde maio de 2021, quando os usuários receberam acesso quase total às contas de outras pessoas. “Mas, infelizmente, as miniaturas de todas as imagens gravadas ainda parecem ser transferidas para a AWS, então o dispositivo não atende aos nossos requisitos de privacidade.” A SEC disse que adiantou a publicação de suas descobertas com base nos tweets de Moore e “com [Black Friday] mania de compras ao virar da esquina.”
Moore postou mais tarde uma resposta de Eufy às suas descobertas, no qual um representante de suporte da Eufy afirma que as miniaturas são restritas por logins de conta e o URL “expirará em 24 horas”, a menos que o usuário o compartilhe. O representante da Eufy também observa que a Eufy “percebeu isso antes” e planeja fazer suas miniaturas da loja Homebase 3 localmente também.
Moore também afirmou em um tweet posterior, marcado na captura de tela de outro usuário, que você pode iniciar e monitorar remotamente os fluxos da câmera Eufy por meio do VLC sem autenticação ou criptografia. Moore afirmou que não poderia liberar uma prova de conceito para a vulnerabilidade. Ele também tuitou que Eufy negou sua ação legal pré-ação contra a empresa, “recusando compensação”, mas também, afirmou Moore, ofereceu-lhe um emprego.
Acabei de ter uma longa discussão com @EufyOfficialdepartamento jurídico da.
É apropriado, nesta fase, dar-lhes tempo para investigar e tomar as medidas adequadas; inversamente, não é certo para mim comentar mais.
Fornecerei uma atualização, sempre que possível. Obrigado!
—Paul Moore (@Paul_Reviews) 28 de novembro de 2022
Finalmente, na segunda-feira, Moore twittou que teve “uma longa discussão com [Eufy’s] departamento jurídico” e posteriormente “daria a eles tempo para investigar e tomar as medidas apropriadas” e se recusou a comentar mais. Enviamos um e-mail a Moore para comentar, mas não recebemos resposta até esta postagem (conforme sugerido em seu tweet).
Eufy, por sua vez, respondeu a Ars e outros meios de comunicação com uma declaração. A Eufy afirma que suas imagens de vídeo e “tecnologia de reconhecimento facial” são “todas processadas e armazenadas localmente no dispositivo dos usuários”. Para notificações push móveis, no entanto, as imagens em miniatura são “armazenadas de forma breve e segura em um servidor de nuvem baseado na AWS”. Eles são criptografados no lado do servidor, protegidos por nomes de usuário e senhas, excluídos automaticamente e em conformidade com os padrões de mensagens da Apple e do Google, bem como com os padrões do Regulamento Geral de Proteção de Dados (GDPR).
Eufy admite que, quando os usuários escolhem entre notificações baseadas em texto ou em miniatura de seu sistema durante a configuração, “não ficou claro que a escolha de notificações baseadas em miniatura exigiria que as imagens de visualização fossem brevemente hospedadas na nuvem”.
A Eufy prometeu atualizar sua linguagem de configuração e “ser mais clara sobre o uso da nuvem para notificações push em nossos materiais de marketing voltados para o consumidor”. Outras reivindicações feitas por Moore e SEC Consult não foram abordadas.
.
