Eufy, la marca de accesorios tecnológicos para el hogar inteligente de Anker, se ha vuelto popular entre algunos compradores de cámaras de seguridad conscientes de la privacidad. La cámara del timbre y otros dispositivos lo anunciaron con orgullo “Sin nubes ni costesy que “nadie tiene acceso a tus datos excepto tú”.

Esa es la razón detrás de una serie de tuits y videos publicados por el consultor e investigador de seguridad Paul Moore, que muestra que las cámaras Eufy han estado cargando miniaturas con etiquetas de nombre en servidores en la nube para alertar a los teléfonos de los propietarios, que probablemente no estén encriptados, y hogares inteligentes. y los entusiastas de la seguridad ferozmente esta semana.

moorecon sede en el Reino Unido Hazle preguntas retóricas a Eufy sobre sus prácticas en Twitter a partir del 21 de noviembre. ¿Por qué puedo transmitir mi cámara sin #autenticación? Moore también publicó líneas de “Código fuente y respuestas de la APIIndica que se usó una clave AES muy débil para cifrar el video.

El 23 de noviembre, Moore subió un video explicando sus hallazgos. con su Eufy base Moore caminó frente a la cámara. Desde un navegador web de incógnito, Moore puede mostrar una miniatura de sí mismo, una foto de su feed poco antes de que aparezca, y quizás más preocupado por los números de identificación que indican su rostro reconocible y el estado como propietario de la cámara.

Un día después, la firma de seguridad SEC Consult Resumen de dos años de análisis de EufyCam 2, lo que indica una transferencia similar de miniaturas a través de la nube de Amazon Web Services. La compañía también vio las claves débiles, que indicaban “claves de cifrado/descifrado cifradas que son idénticas para todos los dispositivos Homebase vendidos”, aunque no estaba claro qué claves se usaron.

SEC Consult señaló que Eufy parece haber reforzado su seguridad desde mayo de 2021, cuando los usuarios repentinamente Otorgar acceso casi completo a las cuentas de otras personas. “Sin embargo, desafortunadamente, parece que las miniaturas de todas las imágenes registradas aún se están moviendo a AWS, por lo que el dispositivo no cumple con nuestros requisitos de privacidad”. La SEC dijo que actualizó la publicación de sus hallazgos basándose en los tuits de Moore y “con [Black Friday] La manía de las compras está a la vuelta de la esquina.

Moore publicó más tarde Una respuesta de Eufy a sus hallazgos., donde un representante de soporte de Eufy explica que las miniaturas están restringidas al inicio de sesión de la cuenta y que la URL “caducará dentro de las 24 horas” a menos que el usuario la comparta. El representante de Eufy también señala que Eufy “ha visto esto antes” y planea crear miniaturas para el almacenamiento local de Homebase 3 también.

moore también afirmó en un tweet posterior, etiquetado con la captura de pantalla de otro usuario, para que pueda iniciar y monitorear de forma remota las transmisiones de Eufy Cam a través de VLC sin autenticación ni encriptación. Moore ha declarado que no puede publicar una prueba de concepto para la vulnerabilidad. el también chirrido Que Eufy negó su reclamo legal anterior contra la compañía, “rechazó una compensación”, pero también, alegó Moore, le ofreció un trabajo.

Finalmente, el lunes, Moore tuiteó que tuvo una “larga discusión con [Eufy’s] El departamento legal” y luego “deles tiempo para investigar y tomar las medidas apropiadas” y se negó a comentar más. Hemos enviado un correo electrónico a Moore para que haga comentarios, pero aún no hemos recibido una respuesta (como se sugiere en su tweet).

Mientras tanto, Yoffe respondió a Ars y otros medios con una declaración. Eufy afirma que las imágenes de video y la “tecnología de reconocimiento facial” se “procesan y almacenan localmente en el dispositivo de los usuarios”. Sin embargo, para las notificaciones automáticas móviles, las miniaturas se “almacenan brevemente y de forma segura en un servidor en la nube basado en AWS”. Están encriptados en el lado del servidor, detrás de nombres de usuario y contraseñas, se eliminan automáticamente y cumplen con los estándares de mensajería de Apple y Google, así como con los estándares del Reglamento General de Protección de Datos (RGPD).

Eufy reconoce que cuando los usuarios eligen entre notificaciones basadas en texto o en miniaturas de su sistema durante la configuración, “no está claro que seleccionar notificaciones basadas en miniaturas requerirá una vista previa de las imágenes para alojarlas brevemente en la nube”.

Eufy se ha comprometido a actualizar su lenguaje de configuración y “ser más explícito sobre el uso de la nube para las notificaciones automáticas en los materiales de marketing orientados al consumidor”. No se han abordado otras alegaciones hechas por Moore y SEC Consult.