Las cámaras Eufy de Anker subieron contenido a la nube sin el consentimiento del usuario [Updated]

Las cámaras Eufy de Anker subieron contenido a la nube sin el consentimiento del usuario [Updated]

Las populares cámaras de seguridad de la marca Eufy de Anker parecen enviar algunos datos a la nube, incluso cuando el almacenamiento en la nube está deshabilitado y la configuración de solo almacenamiento local está activada. La información proviene del consultor de seguridad Paul Moore, quien la semana pasada publicó un video que demuestra el problema.


Según Moore, había comprado un Eufy Doorbell Dual, que estaba destinado a ser un dispositivo que almacenaba grabaciones de video en el dispositivo. Se descubrió que Eufy carga miniaturas de rostros e información de usuario en su servicio en la nube cuando la función de nube no está habilitada.

Moore demuestra la carga no autorizada en la nube dejando que su cámara tome una foto y apagando Eufy HomeBase. El sitio web aún podía acceder al contenido a través de la integración en la nube, aunque no se registró en el servicio en la nube, y aún está disponible incluso cuando se eliminan las instantáneas de la aplicación Eufy. Es importante tener en cuenta que Eufy no parece cargar automáticamente la secuencia de video completa en la nube, sino que captura imágenes de video como miniaturas.

Las miniaturas en la aplicación Eufy se utilizan para activar la transmisión de video desde la estación base Eufy, lo que permite a los usuarios de Eufy ver sus propios videos cuando están fuera de casa, así como enviar notificaciones automáticas enriquecidas. El problema es que carga miniaturas automáticamente en la nube, incluso cuando la funcionalidad de la nube está inactiva, y parece que Eufy también usa el reconocimiento facial en las cargas. Algunos usuarios han tenido problemas con cargas en la nube no autorizadas porque Eufy solo anuncia un servicio local y es popular entre aquellos que quieren una solución de cámara más privada. «Sin nubes ni costes», se lee Sitio web de Eufy.

READ  Sony ha anunciado que está dando un gran paso hacia la próxima generación de consolas PlayStation

Moore sugiere que Eufy también puede vincular los datos de reconocimiento facial recopilados de dos cámaras separadas y dos aplicaciones separadas a los usuarios, todo sin el conocimiento de los propietarios de la cámara.

Otros usuarios de Eufy respondieron al tweet de Moore y vieron que sucedía lo mismo, y también hay un Un hilo de Reddit dedicado sobre este tema Moore ha estado probando una cámara de timbre Eufy, pero parece que así funcionan otras cámaras Eufy. Como explica Moore, se puede acceder a las imágenes mediante URL simples después de iniciar sesión, lo que presenta un riesgo potencial de seguridad para los involucrados. Eufy eliminó la llamada en segundo plano que revelaba imágenes de archivo después del tuit de Moore, pero no eliminó las imágenes.

Moore recibió una respuesta de Eufy en la que Eufy confirmó que estaba cargando listas de eventos y miniaturas en AWS, pero dijo que los datos no pueden «filtrarse al público» porque la URL es cautiva, tiene un límite de tiempo y requiere iniciar sesión en la cuenta.

También hay otro problema destacado por Moore, que sugiere que las transmisiones de la cámara de Eufy se pueden ver directamente usando una aplicación como VLC, pero hay poca información disponible sobre el exploit en este momento. Moore dijo que se puede acceder al contenido de la cámara Eufy sin cifrar sin autenticación, lo que es alarmante para los usuarios de Eufy.

Nos comunicamos con Anker para obtener comentarios adicionales sobre el problema de Eufy y actualizaremos este artículo si recibimos una respuesta. Moore dijo que ha estado en contacto con el departamento legal de Eufy y les dará tiempo para «investigar y tomar las medidas apropiadas» antes de que pueda comentar más.

READ  Aquí están las copias más baratas del Elden Ring en Australia

Modernización: Anker presentó una declaración para rumores de macexplicando por qué se recopilan las imágenes y cómo se abordará el problema en el futuro.

eufy Security está diseñado como un sistema de seguridad para el hogar. Todas las secuencias de video se almacenan localmente y se cifran en el dispositivo del usuario. En cuanto a la tecnología de reconocimiento facial en eufy Security, todo eso se procesa y almacena localmente en el dispositivo del usuario.

Nuestros productos, servicios y operaciones cumplen totalmente con los estándares GDPR, incluidas las certificaciones ISO 27701/27001 y ETSI 303645.

Para proporcionar a los usuarios notificaciones automáticas a sus dispositivos móviles, algunas de nuestras soluciones de seguridad generan pequeñas imágenes de vista previa (miniaturas) para videos que están alojados en una fuente segura en un servidor en la nube basado en AWS. Estas miniaturas usan encriptación del lado del servidor, están configuradas para eliminarse automáticamente y son compatibles con los estándares de Apple Push Notification Service y Firebase Cloud Messaging. Los usuarios pueden acceder o compartir estas miniaturas solo después de haber iniciado sesión de forma segura en su cuenta de seguridad de eufy.

Aunque nuestra aplicación eufy Security permite a los usuarios elegir entre notificaciones automáticas basadas en texto o en miniatura, no queda claro que seleccionar notificaciones basadas en miniaturas requerirá que las imágenes de vista previa se alojen brevemente en la nube.

Esta falta de comunicación fue un descuido de nuestra parte y nos disculpamos sinceramente por nuestro error. Así es como planeamos mejorar nuestra comunicación al respecto:

1) Estamos revisando el idioma de la opción de notificaciones automáticas de la aplicación eufy Security para obtener detalles claros de que las notificaciones automáticas con miniaturas requieren imágenes de vista previa que se almacenarán en caché en la nube.

2) Seremos más explícitos sobre el uso de la nube para las notificaciones automáticas en nuestros materiales de marketing orientados al consumidor.

eufy Security está comprometida con la privacidad y la protección de los datos de nuestros usuarios y agradece a la comunidad de investigación de seguridad que se comunicó con nosotros para informarnos sobre este tema.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.