Territorio Móvil

Cámara Eufy grabando brecha de seguridad, pero muchas más preguntas

El propietario de la marca, Anker, finalmente respondió a la evidencia de una grave violación de seguridad en la cámara Eufy, pero su declaración oficial deja muchas sin respuesta. La compañía ahora admitió que les mintió a los usuarios que todas las grabaciones e imágenes se almacenaron localmente y nunca se enviaron a la nube, luego de que un investigador de seguridad demostrara que eso no es cierto…

Contenidos

antecedentes

Uno de los mayores desarrollos en las cámaras de seguridad para el hogar del consumidor ha sido la incorporación de la tecnología de reconocimiento facial. En lugar de solo detectar movimiento, la cámara puede diferenciar entre una persona y, por ejemplo, una mascota. Además, el reconocimiento facial evita que se envíen alertas de seguridad innecesarias cuando se detecta a un miembro conocido de la familia. La mayoría de la tecnología de reconocimiento facial se ejecuta en servidores en la nube, pero Anker dijo que sus cámaras Eufy lo hacen en los propios dispositivos, sin necesidad de enviar imágenes a la nube. El sitio web de la compañía aún establece claramente que no se envían datos a la nube.

Sin nubes ni costes. Esto significa que nadie más que usted tiene acceso a sus datos.

Violación de seguridad de la cámara Eufy

Paul Moore recientemente proporcionó evidencia de que el reclamo de privacidad de Anker es falso.

Moore muestra evidencia de que las cámaras Eufy envían datos que supuestamente están «almacenados localmente» a la nube, incluso cuando el almacenamiento en la nube está desactivado […]
La cámara del timbre cargó datos de reconocimiento facial de la cámara a los servidores en la nube de Eufy con información identificable adjunta, y esos datos en realidad no se eliminaron de los servidores de Eufy cuando el metraje asociado se eliminó de la aplicación Eufy. En el video a continuación, Moore también señala que Eufy usó datos de reconocimiento facial de dos cámaras diferentes en dos cuentas completamente diferentes para vincular datos de cada una, y señala que Eufy nunca notifica al usuario que esto está sucediendo; el mercado de la empresa tiende a implicar todo lo contrario.

Peor aún, otro usuario descubrió que era posible ver secuencias de video en vivo sin cifrar sin autenticación.

Simplemente usando el popular reproductor multimedia VLC, un usuario podía acceder a la transmisión de una cámara, y Paul Moore confirmó (aunque sin mostrar cómo funciona) que se puede acceder a las transmisiones sin necesidad de encriptación o autenticación.

The Verge también confirmó esto.

La empresa admite parcialmente los problemas

Anker publicó una publicación de blog esta semana que admite parcialmente los problemas y afirma que no se filtraron datos de usuarios (énfasis nuestro):

«eufy Security utiliza la nube para enviar notificaciones push móviles a los usuarios» Así es. Como se mencionó anteriormente, eufy Security se compromete a reducir el uso de la nube en nuestros procesos de seguridad siempre que sea posible. Sin embargo, Incluso hoy en día, algunos procesos aún requieren el uso de nuestro servidor seguro de AWS. Por ejemplo, en el caso de las notificaciones automáticas de seguridad, si el usuario eligió agregar una imagen en miniatura a esa notificación de seguridad, se envía una pequeña imagen de vista previa del evento de seguridad a nuestro servidor seguro de AWS y luego se envía al teléfono del usuario. Esta imagen está protegida por encriptación de extremo a extremo y se eliminará poco después de que se envíe la notificación push. Este proceso también cumple con todos los estándares de la industria.

También admitió vulnerabilidades en su portal web y negó que se revelara ningún dato del usuario.

No se han divulgado datos de usuario y las posibles vulnerabilidades de seguridad discutidas en línea son especulativas. Sin embargo, estamos de acuerdo en que hubo algunas áreas clave para mejorar. así lo hicimos [authentication] cambios.

La empresa sigue negando que los datos de reconocimiento facial se envíen a la nube.

Quedan muchas preguntas sin respuesta

The Verge dice que la declaración deja muchas preguntas sin respuesta, comenzando con las más importantes:

¿Por qué alguien podría ver una transmisión sin cifrar en el reproductor multimedia VLC en todo el país desde una cámara supuestamente siempre local, siempre cifrada de extremo a extremo?

El sitio envió a Anker una larga lista de preguntas adicionales:

¿Por qué sus cámaras encriptadas supuestamente de extremo a extremo producen transmisiones sin encriptar? ¿Bajo qué circunstancias se encriptan realmente los videos? ¿Otras partes del servicio de Eufy dependen de flujos no cifrados, como B. ¿El portal web de escritorio de Eufy? ¿Durante cuánto tiempo se puede acceder a una transmisión sin cifrar? ¿Hay algún modelo de cámara Eufy que no transmita transmisiones sin cifrar? ¿Eufy deshabilitará por completo la transmisión de flujos no cifrados? ¿Si? ¿Cómo? Si no, ¿por qué no? De lo contrario, ¿Eufy les dirá a sus clientes que sus transmisiones no siempre están encriptadas de extremo a extremo? ¿Cuando y donde? ¿Ha cambiado Eufy las URL de flujo para hacerlas más difíciles de aplicar ingeniería inversa? Si no, ¿Eufy hará esto? ¿Si? ¿Todavía se puede acceder a las transmisiones sin cifrar cuando las cámaras usan HomeKit Secure Video? ¿Es cierto que «ZXSecurity17Cam@» es una clave de cifrado real? Si no, ¿por qué apareció eso en su código marcado como clave de cifrado y en un repositorio de GitHub de 2019? Además de las miniaturas y las transmisiones sin cifrar, ¿hay otros datos privados o elementos de identificación a los que las cámaras Eufy puedan acceder a través de la nube? Además de acceder potencialmente a una transmisión sin cifrar, ¿hay otras cosas que los servidores de Eufy pueden decirle a una cámara de forma remota? ¿Qué impide que el personal de Eufy y Anker acceda a estas corrientes? ¿Qué otras medidas específicas tomará Eufy para garantizar su seguridad y tranquilizar a los clientes? Después de estas revelaciones, ¿Anker contrató firmas de seguridad independientes para realizar una auditoría de sus prácticas? ¿Cuales? ¿Anker ofrecerá reembolsos a los clientes que hayan comprado cámaras en función del compromiso de privacidad de Eufy? ¿Por qué Anker le dijo a The Verge que no era posible ver la transmisión sin cifrar en una aplicación como VLC? ¿Eufy comparte videos con las fuerzas del orden?

No es la primera vez que terceros pueden ver transmisiones de video encriptadas supuestamente de extremo a extremo de las cámaras Eufy: lo mismo sucedió en mayo del año pasado. FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Visite 9to5Mac en YouTube para obtener más noticias de Apple:

MÁS SOBRE APPLE
T-Mobile está renunciando al descuento de AutoPay para Apple Pay a pesar de los problemas de seguridad anteriores
La autoridad de competencia francesa inicia una investigación sobre el ATT de Apple
iOS 17 Beta 4: Esto es nuevo
Cuarta beta para desarrolladores de iOS 17 y iPadOS 17 implementada por Apple
Encuesta: ¿Seguirá valiendo la pena la Apple Card en 2023? [Video]
El iPhone 15 podría tener una lente de cámara mejorada y una mayor apertura

Deja una respuesta

Tu dirección de correo electrónico no será publicada.