TecTop
Las populares cámaras de seguridad de la marca Eufy de Anker parecen estar enviando algunos datos a la nube, incluso cuando el almacenamiento en la nube está deshabilitado y la configuración de almacenamiento solo local está activada. La información proviene del consultor de seguridad Paul Moore, quien la semana pasada publicó un video que describe el problema.
Según Moore, compró un Eufy Doorbell Dual, que estaba destinado a ser un dispositivo que almacenaba grabaciones de video en el dispositivo. Descubrió que Eufy está cargando imágenes en miniatura de rostros e información del usuario a su servicio en la nube cuando la funcionalidad de la nube no está habilitada.
Moore demuestra la carga no autorizada en la nube permitiendo que su cámara capture su imagen y apagando Eufy HomeBase. El sitio web aún puede acceder al contenido a través de la integración en la nube, aunque no se había registrado para el servicio en la nube, y permanece accesible incluso cuando se elimina el metraje de la aplicación Eufy. Es importante tener en cuenta que Eufy no parece estar cargando automáticamente la transmisión de video completa a la nube, sino que toma capturas del video como miniaturas.
Las miniaturas se utilizan en la aplicación Eufy para activar la transmisión de video desde la estación base Eufy, lo que permite a los usuarios de Eufy ver sus videos cuando están fuera de casa, así como para enviar notificaciones detalladas. El problema es que las miniaturas se cargan en la nube automáticamente, incluso cuando la funcionalidad de la nube no está activa, y Eufy también parece estar utilizando el reconocimiento facial en las cargas. Algunos usuarios han tenido problemas con las cargas no autorizadas en la nube porque Eufy anuncia un servicio solo local y ha sido popular entre aquellos que quieren una solución de cámara más privada. «Sin nubes ni costes», reza el Sitio web de Eufy.
Moore sugiere que Eufy también puede vincular los datos de reconocimiento facial recopilados de dos cámaras separadas y dos aplicaciones separadas a los usuarios, todo sin que los propietarios de las cámaras lo sepan.
Otros usuarios de Eufy respondieron al tweet de Moore y vieron que sucedía lo mismo, y también hay un Hilo de Reddit dedicado sobre el tema. Moore probó la cámara del timbre Eufy, pero parece que así es como funcionan otras cámaras Eufy. Como demuestra Moore, se puede acceder a las imágenes con URL simples después de iniciar sesión, lo que es un riesgo potencial de seguridad para los interesados. Eufy eliminó la llamada de fondo que revela las imágenes almacenadas después del tuit de Moore, pero no eliminó las imágenes.
Moore recibió una respuesta de Eufy en la que Eufy confirmó que está cargando listas de eventos y miniaturas en AWS, pero dijo que los datos no pueden «filtrarse al público» porque la URL está restringida, tiene un límite de tiempo y requiere iniciar sesión en la cuenta.
También hay otro problema que Moore ha destacado, lo que sugiere que las transmisiones de la cámara Eufy se pueden ver en vivo usando una aplicación como VLC, pero en este momento hay poca información disponible sobre el exploit. Moore dijo que se puede acceder al contenido de la cámara Eufy sin cifrar sin autenticación, lo que es alarmante para los usuarios de Eufy.
Nos comunicamos con Anker para obtener comentarios adicionales sobre el problema de Eufy y actualizaremos este artículo si recibimos una respuesta. Moore dijo que ha estado en contacto con el departamento legal de Eufy y les dará tiempo para «investigar y tomar las medidas apropiadas» antes de comentar más.
(¡Gracias, Derek!)
