Euphy
Eufy, la marca de hogar inteligente de la empresa de accesorios tecnológicos Anker, se había vuelto popular entre algunos compradores de cámaras de vigilancia conscientes de la privacidad. Su cámara de timbre y otros dispositivos anunciaron con orgullo que tenían “Sin nubes ni costesy que “nadie tiene acceso a su información excepto usted”.
Es por eso que una serie de tweets y videos del consultor e investigador de seguridad Paul Moore muestran que las cámaras Eufy cargaron miniaturas de marca en servidores en la nube para alertar a los teléfonos de sus propietarios, probablemente sin cifrar, entusiastas de la seguridad y el hogar inteligente esta semana.
moorecon sede en Gran Bretaña comenzó hacer preguntas retóricas a Eufy de su práctica en Twitter del 21 de noviembre. “¿Por qué mi “almacenamiento local” #doorbellDual almacena todas las caras sin encriptar en sus servidores? ¿Por qué puedo transmitir mi cámara sin #autenticación?” Moore también envió líneas de “código fuente y respuestas de la API“, lo que sugiere que se utilizó una clave AES muy débil para cifrar el metraje.
El 23 de noviembre, Moore subió un video que demuestra sus hallazgos. Con su Eufy Base indiferente, Moore caminó frente a su cámara. Desde el navegador de incógnito, Moore podía obtener una miniatura de sí mismo, una fuente de fotos justo antes de que fuera visible y, quizás lo más inquietante, los números de identificación que indicaban su rostro reconocido y su estado como propietario de la cámara.
El video del investigador de seguridad de la información Paul Moore, que habla sobre las cargas silenciosas de Eufy de miniaturas y nombres (del reconocimiento facial) al servidor en la nube.
Un día después, la empresa de seguridad SEC Consult resumen de dos años de análisis de EufyCam 2, descubrió una transferencia similar de miniaturas a través de la nube de Amazon Web Services. La compañía también vio claves débiles, lo que sugiere “claves codificadas de cifrado/descifrado idénticas a todos los dispositivos Homebase vendidos”, aunque no estaba claro para qué se usaban las claves.
SEC Consult señaló que Eufy parecía haber reforzado su seguridad desde mayo de 2021, cuando los usuarios repentinamente se le dio acceso casi completo a las cuentas de otras personas. “Pero desafortunadamente, las miniaturas de todas las imágenes guardadas todavía parecen ir a AWS, por lo que el dispositivo no cumple con nuestros requisitos de privacidad”. La SEC dijo que ha aumentado la publicación de sus hallazgos basándose en los tuits de Moore, y [Black Friday] manía de compras a la vuelta de la esquina”.
Moore publicó más tarde La respuesta de Eufy a sus observaciones., donde un representante de soporte de Eufy afirma que las miniaturas están limitadas por los inicios de sesión de la cuenta y que la URL “caduca en 24 horas” a menos que el usuario la comparta. El representante de Eufy también señala que Eufy “lo notó antes” y planea hacer que las miniaturas de la tienda Homebase 3 también sean locales.
moore también afirmó en un tweet posterior, etiquetado en la captura de pantalla de otro usuario, para habilitar y monitorear la transmisión de la cámara Eufy de forma remota a través de VLC sin autenticación ni encriptación. Moore afirmó que no podía publicar el concepto de vulnerabilidad. Él también tuiteó que Eufy negó su reclamo legal previo a la acción contra la empresa al “rechazar una compensación”, pero Moore también afirmó haberle ofrecido un trabajo.
acabo de tener una larga conversación @EufyOfficialDepartamento legal.
En este punto, conviene darles tiempo para que investiguen y tomen las medidas necesarias. por el contrario, no me corresponde comentar más.
Proporcionaré una actualización tan pronto como sea posible. ¡Gracias!
-Paul Moore (@Paul_Reviews) 28 de noviembre de 2022
Finalmente, el lunes, Moore tuiteó que tuvo “una larga conversación con ella [Eufy’s] departamento legal” y “más tarde les daría tiempo para investigar y tomar las medidas apropiadas” y se negó a comentar más. Le enviamos un correo electrónico a Moore para que hiciera comentarios, pero no habíamos recibido respuesta en el momento de esta publicación (como se sugiere en su tweet).
Eufy respondió a Ars y otros medios con una declaración. Eufy confirma que sus secuencias de video y “tecnología de reconocimiento facial” se “procesan y almacenan localmente en los dispositivos de los usuarios”. Sin embargo, en las notificaciones push móviles, las miniaturas se “almacenan brevemente y de forma segura en un servidor en la nube basado en AWS”. Están encriptados en el lado del servidor, detrás de nombres de usuario y contraseñas, se eliminan automáticamente y cumplen con los estándares de comunicación de Apple y Google y los estándares del Reglamento General de Protección de Datos (GDPR).
Eufy admite que cuando los usuarios eligen entre notificaciones de texto o miniaturas en su sistema durante la configuración, “no quedó claro que elegir notificaciones basadas en miniaturas requeriría que las imágenes de vista previa se alojen en la nube por un tiempo”.
Eufy prometió actualizar su idioma de instalación y “asumir más claramente el uso de la nube en las notificaciones automáticas en nuestros materiales de marketing dirigidos a los consumidores”. No se abordaron otras afirmaciones realizadas por Moore y SEC Consult.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida
