Cuando los investigadores de seguridad descubrieron que las cámaras supuestamente libres de la nube de Eufy estaban subiendo miniaturas con datos faciales a los servidores de la nube, la respuesta de Eufy fue que se trataba de un malentendido, una falta de divulgación de un aspecto de su sistema de notificación móvil a los clientes.
Parece que hay más comprensión ahora, y no es bueno.
Eufy no respondió a otras afirmaciones del investigador de seguridad Paul Moore y otros, incluido que uno podría transmita la transmisión desde una cámara Eufy en VLC Media Player, si tenía la URL correcta. Anoche, The Verge, trabajando con el investigador de seguridad “wasabi” que primero tuiteó el problemaconfirmó que podía acceder a las transmisiones de la cámara Eufy, sin encriptación, a través de una URL del servidor Eufy.
Esto hace que las promesas de privacidad de Eufy de imágenes que “nunca abandonan la seguridad de su hogar”, estén encriptadas de extremo a extremo y solo se envíen “directamente a su teléfono” sean altamente engañosas, si no totalmente dudosas. También contradice a un gerente senior de relaciones públicas de Anker/Eufy que le dijo a The Verge que “no es posible” ver imágenes usando una herramienta de terceros como VLC.
The Verge señala algunas advertencias, similares a las que se aplicaron a la miniatura alojada en la nube. Principalmente, normalmente necesitaría un nombre de usuario y una contraseña para revelar y acceder a la URL sin cifrado de una transmisión. “Por lo general”, es decir, debido a que la URL de alimentación de la cámara parece ser un esquema relativamente simple que involucra el número de serie de la cámara en Base64, una marca de tiempo de Unix, un token que, según The Verge, no está validado por los servidores de Eufy, y un número de cuatro dígitos. valor hexadecimal. Los números de serie de Eufy suelen tener 16 dígitos, pero también están impresos en algunas cajas y se pueden obtener en otros lugares.
Nos comunicamos con Eufy y wasabi y actualizaremos esta publicación con más información. El investigador Paul Moore, quien inicialmente expresó su preocupación por el acceso a la nube de Eufy, tuiteó el 28 de noviembre que tuvo “una larga discusión con [Eufy’s] departamento legal” y no haría más comentarios hasta que pudiera proporcionar una actualización.
(Actualización, 5:42 p. m. ET: Ars conversó con wasabi, quien confirmó que podía ver transmisiones de cámaras Eufy desde sistemas fuera de su red sin autenticación u otros dispositivos Eufy en ese sistema. “Parece que Eufy está tratando de simplemente bloquear a las personas para que no vean los datos que envía su aplicación (web) en lugar de solucionar el problema”, escribieron.
Wasabi también señaló que, por la forma en que se configuran las URL remotas, solo hay 65,535 combinaciones para probar, “que una computadora puede ejecutar bastante rápido”).
El descubrimiento de vulnerabilidades es mucho más una norma que una excepción en los campos de hogar inteligente y seguridad para el hogar. Ring, Nest, Samsung, la cámara para reuniones corporativas Owl: si tiene una lente y se conecta a Wi-Fi, puede esperar que aparezca una falla en algún momento y los titulares lo acompañen. La mayoría de estas fallas son de alcance limitado, complicadas para que una entidad malintencionada actúe y, con una divulgación responsable y una respuesta rápida, en última instancia, fortalecerán los dispositivos y sistemas.
Eufy, en este caso, no parece la típica empresa de seguridad en la nube con una vulnerabilidad típica. Una página completa de promesas de privacidad, incluidos algunos movimientos válidos y notablemente buenos, se ha vuelto en gran medida irrelevante en una semana.
Se podría argumentar que cualquier persona que quiera recibir una notificación de los incidentes de la cámara en su teléfono debería esperar que se involucren algunos servidores en la nube. Puede darle a Eufy el beneficio de la duda, que los servidores en la nube a los que puede acceder con la URL correcta son simplemente un punto de referencia para las transmisiones que eventualmente deben abandonar la red doméstica bajo un bloqueo de contraseña de cuenta.
Pero tiene que ser particularmente doloroso para los clientes que compraron los productos de Eufy bajo los auspicios de tener sus imágenes almacenadas localmente, de forma segura y diferente a las otras empresas basadas en la nube solo para ver a Eufy luchar para explicar su propia dependencia de la nube a uno de los más grandes. medios de noticias de tecnología.