As câmeras e videoporteiros Anker Eufy transmitem dados por canais inseguros – o fabricante se arrependeu e prometeu melhorar

Especialistas em segurança cibernética descobriram que câmeras de vigilância e intercomunicadores de vídeo Eufy, uma submarca da chinesa Anker Innovations, transmitem parte do conteúdo para a nuvem por canais não criptografados, onde são armazenados incontrolavelmente por até 24 horas.

Fonte da imagem: eufylife.com

Segundo Eufy, os dados das câmeras são transmitidos apenas para a HomeBase local, que fica armazenada na casa do dono do sistema. O HomeBase possui um disco rígido que armazena imagens e pode ser acessado por meio do aplicativo Eufy ou do portal da empresa na web. O fabricante garante que esses dados são protegidos por criptografia de ponta a ponta, eles só podem ser abertos se houver uma chave não pública associada à conta do usuário.

A versão mais recente do sistema HomeBase 3 usa algoritmos de aprendizado de máquina para reconhecer veículos, animais de estimação e pessoas em gravações de vídeo – e, novamente, o fabricante afirma que a análise de imagem é realizada localmente. Isso pode ser verdade, mas os resultados dessa análise são encontrados nos servidores Eufy na infraestrutura do Amazon Web Services.

Depois de comprar um intercomunicador de vídeo Eufy, o especialista em segurança cibernética Paul Moore descobriu que o código-fonte das páginas no portal da web do fabricante contém URLs não criptografados para imagens na nuvem do fabricante. Essas imagens permanecem disponíveis por meio de links diretos mesmo depois que a unidade HomeBase é desconectada da Internet, os quadros originais são excluídos do armazenamento local e até mesmo toda a conta do usuário é excluída.

Para cada vídeo armazenado no Eufy HomeBase, uma imagem de visualização é criada na nuvem, também há instantâneos de todos os rostos reconhecidos pelo sistema, aos quais são anexados identificadores exclusivos. E isso contradiz claramente a afirmação do fabricante de que “seus dados pessoais nunca saem de casa”. Na realidade, os endereços de todas essas imagens são encontrados em texto não criptografado e a imagem das câmeras Eufy pode ser visualizada em tempo real sem autenticação. E isso também não corresponde às declarações do fabricante sobre criptografia de dados de ponta a ponta.

A empresa reagiu às revelações lamentando a “falta de comunicação [com o público]” – as pessoas “não deixaram claro que optar por notificações em miniatura requer hospedagem de curto prazo de imagens de visualização na nuvem”. Segundo Eufy, essas imagens são apagadas automaticamente após algum tempo, embora especialistas indiquem um período de 24 horas. A empresa também prometeu criptografar a API que conecta o portal web à nuvem da fabricante, o que eliminará a transmissão de URLs em claro. Por fim, o fabricante anunciou sua intenção de atualizar os textos de instruções, indicando explicitamente que, ao definir notificações com miniaturas, as imagens de visualização são carregadas na nuvem.

avalanche

Postagens recentes

Release Calendar July 13-19: The Alters: Last Variable, Denshattack! e Moss: a relíquia esquecida

\nMeados de julho irá agradá-lo com vários lançamentos notáveis ​​de uma só vez. A principal…

22 minutos atrás

Detritos espaciais atingiram a órbita geossíncrona – e ameaçam satélites caros

Pequenos pedaços de detritos espaciais medindo apenas cerca de 5 centímetros de tamanho espalharam-se pela…

2 horas atrás

A Acer lançou um monitor 3D sem óculos Predator XB273K 3D por US$ 1.100, mas até agora apenas na China

\nAcer lançou um monitor de jogos 3D Predator XB273K de 27 polegadas, anunciado um mês…

2 horas atrás

A Intel investirá 5 bilhões de euros na maior fábrica de chips da Europa para produzir lá processadores Angstrom

\nA Intel está investindo € 5 bilhões para expandir sua unidade de produção em Leixlip,…

2 horas atrás

As ações da Apple voltaram a crescer – os investidores apreciaram a cautela com os investimentos em IA

\nAs ações da Apple caíram significativamente após as apresentações na conferência WWDC 2026, o que…

2 horas atrás

O Trojan RedHook começou a se espalhar pelos smartphones Android, drenando as contas bancárias das vítimas.

\nEspecialistas do Group-IB, empresa que atua na área de segurança da informação, relataram a identificação…

2 horas atrás