Las populares cámaras de seguridad de la marca Eufy de Anker parecen enviar algunos datos a la nube, incluso cuando el almacenamiento en la nube está deshabilitado y la configuración de solo almacenamiento local está activada. La información proviene del consultor de seguridad Paul Moore, quien la semana pasada publicó un video que demuestra el problema.
Según Moore, había comprado un Eufy Doorbell Dual, que estaba destinado a ser un dispositivo que almacenaba grabaciones de video en el dispositivo. Se descubrió que Eufy carga miniaturas de rostros e información de usuario en su servicio en la nube cuando la función de nube no está habilitada.
Moore demuestra la carga no autorizada en la nube dejando que su cámara tome una foto y apagando Eufy HomeBase. El sitio web aún podía acceder al contenido a través de la integración en la nube, aunque no se registró en el servicio en la nube, y aún está disponible incluso cuando se eliminan las instantáneas de la aplicación Eufy. Es importante tener en cuenta que Eufy no parece cargar automáticamente la secuencia de video completa en la nube, sino que captura imágenes de video como miniaturas.
Las miniaturas en la aplicación Eufy se utilizan para activar la transmisión de video desde la estación base Eufy, lo que permite a los usuarios de Eufy ver sus propios videos cuando están fuera de casa, así como enviar notificaciones automáticas enriquecidas. El problema es que carga miniaturas automáticamente en la nube, incluso cuando la funcionalidad de la nube está inactiva, y parece que Eufy también usa el reconocimiento facial en las cargas. Algunos usuarios han tenido problemas con las cargas en la nube no autorizadas porque Eufy solo anuncia un servicio local y se ha vuelto popular entre aquellos que quieren una solución de cámara más privada. «Sin nubes ni costes», se lee Sitio web de Eufy.
Moore sugiere que Eufy también puede vincular los datos de reconocimiento facial recopilados de dos cámaras separadas y dos aplicaciones separadas a los usuarios, todo sin el conocimiento de los propietarios de la cámara.
Otros usuarios de Eufy respondieron al tweet de Moore y vieron que sucedía lo mismo, y también hay un Un hilo de Reddit dedicado sobre este tema Moore ha estado probando una cámara de timbre Eufy, pero parece que así funcionan otras cámaras Eufy. Como explica Moore, se puede acceder a las imágenes mediante URL simples después de iniciar sesión, lo que presenta un riesgo potencial de seguridad para los involucrados. Eufy eliminó la llamada en segundo plano que revelaba imágenes de archivo después del tuit de Moore, pero no eliminó las imágenes.
Moore recibió una respuesta de Eufy en la que Eufy confirmó que estaba cargando listas de eventos y miniaturas en AWS, pero dijo que los datos no pueden «filtrarse al público» porque la URL es cautiva, tiene un límite de tiempo y requiere iniciar sesión en la cuenta.
También hay otro problema destacado por Moore, que sugiere que las transmisiones de la cámara de Eufy se pueden ver directamente usando una aplicación como VLC, pero hay poca información disponible sobre el exploit en este momento. Moore dijo que se puede acceder al contenido de la cámara Eufy sin cifrar sin autenticación, lo que es alarmante para los usuarios de Eufy.
Nos comunicamos con Anker para obtener comentarios adicionales sobre el problema de Eufy y actualizaremos este artículo si recibimos una respuesta. Moore dijo que ha estado en contacto con el departamento legal de Eufy y les dará tiempo para «investigar y tomar las medidas apropiadas» antes de que pueda comentar más.
(¡Gracias Derek!)