As câmeras e videoporteiros Anker Eufy transmitem dados por canais inseguros – o fabricante se arrependeu e prometeu melhorar

Especialistas em segurança cibernética descobriram que câmeras de vigilância e intercomunicadores de vídeo Eufy, uma submarca da chinesa Anker Innovations, transmitem parte do conteúdo para a nuvem por canais não criptografados, onde são armazenados incontrolavelmente por até 24 horas.

Fonte da imagem: eufylife.com

Segundo Eufy, os dados das câmeras são transmitidos apenas para a HomeBase local, que fica armazenada na casa do dono do sistema. O HomeBase possui um disco rígido que armazena imagens e pode ser acessado por meio do aplicativo Eufy ou do portal da empresa na web. O fabricante garante que esses dados são protegidos por criptografia de ponta a ponta, eles só podem ser abertos se houver uma chave não pública associada à conta do usuário.

A versão mais recente do sistema HomeBase 3 usa algoritmos de aprendizado de máquina para reconhecer veículos, animais de estimação e pessoas em gravações de vídeo – e, novamente, o fabricante afirma que a análise de imagem é realizada localmente. Isso pode ser verdade, mas os resultados dessa análise são encontrados nos servidores Eufy na infraestrutura do Amazon Web Services.

Depois de comprar um intercomunicador de vídeo Eufy, o especialista em segurança cibernética Paul Moore descobriu que o código-fonte das páginas no portal da web do fabricante contém URLs não criptografados para imagens na nuvem do fabricante. Essas imagens permanecem disponíveis por meio de links diretos mesmo depois que a unidade HomeBase é desconectada da Internet, os quadros originais são excluídos do armazenamento local e até mesmo toda a conta do usuário é excluída.

Para cada vídeo armazenado no Eufy HomeBase, uma imagem de visualização é criada na nuvem, também há instantâneos de todos os rostos reconhecidos pelo sistema, aos quais são anexados identificadores exclusivos. E isso contradiz claramente a afirmação do fabricante de que “seus dados pessoais nunca saem de casa”. Na realidade, os endereços de todas essas imagens são encontrados em texto não criptografado e a imagem das câmeras Eufy pode ser visualizada em tempo real sem autenticação. E isso também não corresponde às declarações do fabricante sobre criptografia de dados de ponta a ponta.

A empresa reagiu às revelações lamentando a “falta de comunicação [com o público]” – as pessoas “não deixaram claro que optar por notificações em miniatura requer hospedagem de curto prazo de imagens de visualização na nuvem”. Segundo Eufy, essas imagens são apagadas automaticamente após algum tempo, embora especialistas indiquem um período de 24 horas. A empresa também prometeu criptografar a API que conecta o portal web à nuvem da fabricante, o que eliminará a transmissão de URLs em claro. Por fim, o fabricante anunciou sua intenção de atualizar os textos de instruções, indicando explicitamente que, ao definir notificações com miniaturas, as imagens de visualização são carregadas na nuvem.