As populares câmeras de segurança da marca Eufy da Anker parecem estar enviando alguns dados para a nuvem, mesmo quando o armazenamento em nuvem está desativado e as configurações de armazenamento somente local estão ativadas. A informação vem do consultor de segurança Paul Moore, que publicou na semana passada um vídeo descrevendo o problema.
Segundo Moore, ele comprou uma campainha Eufy Dual, que deveria ser um dispositivo que armazenasse vídeo gravação no dispositivo. Ele descobriu que a Eufy está carregando imagens em miniatura de rostos e informações do usuário em seu serviço de nuvem quando a funcionalidade de nuvem não está ativada.
Moore demonstra o upload não autorizado na nuvem permitindo que sua câmera capture sua imagem e desligando o Eufy HomeBase. O site ainda pode acessar o conteúdo por meio da integração na nuvem, embora não tenha se inscrito no serviço de nuvem, e permanece acessível mesmo quando a filmagem é removida do aplicativo Eufy. É importante observar que o Eufy não parece estar carregando automaticamente o streaming de vídeo completo para a nuvem, mas capturando o vídeo como miniaturas.
As miniaturas são usadas no aplicativo Eufy para ativar o streaming de vídeo da estação base Eufy, permitindo que os usuários Eufy assistam seus vídeos quando estiverem fora de casa, bem como para enviar notificações avançadas. O problema é que as miniaturas são enviadas para a nuvem automaticamente, mesmo quando a funcionalidade da nuvem não está ativa, e o Eufy também parece estar usando reconhecimento facial nos uploads. Alguns usuários tiveram problemas com os uploads não autorizados na nuvem porque o Eufy anuncia um serviço apenas local e é popular entre aqueles que desejam uma solução de câmera mais privada.”Sem nuvens ou custos”, diz o site da Eufy.
Moore sugere que O Eufy também é capaz de vincular dados de reconhecimento facial coletados de duas câmeras separadas e dois aplicativos separados aos usuários, tudo sem que os proprietários das câmeras percebam.
Outros usuários do Eufy responderam ao tweet de Moore e viram a mesma coisa acontecendo, e há também um tópico Reddit dedicado sobre o assunto. Moore testou a câmera da campainha Eufy, mas também parece ser assim que outras câmeras Eufy funcionam. Como demonstra Moore, as imagens podem ser acessadas com URLs simples após o login, o que é um risco de segurança potencial para os envolvidos. Eufy removeu a chamada de fundo que revela as imagens armazenadas após o tweet de Moore, mas não removeu a filmagem.
Moore recebeu uma resposta de Eufy na qual Eufy confirmou que está carregando listas de eventos e miniaturas para AWS, mas disse que os dados não podem”vazar para o público”porque o URL é restrito, tem tempo limitado e requer login na conta.
Há também outro problema que Moore destacou, sugerindo que os fluxos de câmera Eufy podem ser assistido ao vivo usando um aplicativo como o VLC, mas poucas informações sobre o exploit estão disponíveis no momento. Moore disse que o conteúdo não criptografado da câmera Eufy pode ser acessado sem autenticação, o que é alarmante para os usuários da Eufy.
Entramos em contato com Anker para comentários adicionais sobre o problema da Eufy e atualizaremos este artigo se recebermos uma resposta. Moore disse que entrou em contato com o departamento jurídico da Eufy e dará a eles tempo para”investigar e tomar as medidas apropriadas”antes de fazer mais comentários.
(Obrigado, Derek!)
