Las cámaras Eufy con «almacenamiento local» pueden transmitir desde cualquier lugar sin cifrar.

Cuando los investigadores de seguridad descubrieron que las cámaras supuestamente sin nubes de Eufy estaban cargando miniaturas de datos faciales en los servidores de la nube, Eufy respondió que se trataba de un malentendido, al no revelar a los clientes un aspecto de su sistema de notificación móvil.

Parece que ahora hay más entendimiento, y esto no es bueno.

Eufy no ha respondido a otras afirmaciones del investigador de seguridad Paul Moore y otros, incluido que sería posible transmitir desde la cámara de Eufy a VLC Media Player si tuviera la URL correcta. Anoche, The Verge, en colaboración con el investigador de seguridad «wasabi», quien primero tuiteó sobre el problema , confirmó que podía acceder a las transmisiones de la cámara de Eufy sin encriptación a través de la URL del servidor de Eufy.

Esto hace que las promesas de privacidad de Eufy de imágenes que «nunca abandonan la seguridad de su hogar», encriptadas de extremo a extremo y que solo se envían «directamente a su teléfono» sean altamente engañosas, si no totalmente dudosas. También contradice al gerente senior de relaciones públicas de Anker/Eufy, quien le dijo a The Verge que es «imposible» ver las imágenes con una herramienta de terceros como VLC.

The Verge señala algunas advertencias similares a las que se aplican a las miniaturas alojadas en la nube. Básicamente, generalmente necesitará un nombre de usuario y una contraseña para abrir y acceder a la URL de transmisión sin encriptación. «Por lo general», es decir, porque la URL de la cámara parece ser un esquema relativamente simple, que incluye el número de serie de la cámara en Base64, una marca de tiempo de Unix, un token que, según The Verge, no está verificado por los servidores de Eufy y un hexágono de cuatro dígitos. valor. Los números de serie de Eufy suelen tener 16 dígitos, pero también están impresos en algunas cajas y se pueden obtener en otros lugares.

Nos hemos puesto en contacto con Eufy y Wasabi y actualizaremos esta publicación con cualquier información adicional. El investigador Paul Moore, quien inicialmente expresó su preocupación por el acceso a la nube de Eufy, tuiteó el 28 de noviembre que tuvo “una larga discusión con el departamento legal [de Eufy]” y no comentaría sobre acciones futuras hasta que proporcionara una actualización.

(Actualización a las 5:42 p. m., hora del este: Ars habló con Wasabi, quien confirmó que puede ver las imágenes de la cámara Eufy desde sistemas fuera de su red sin autenticación u otros dispositivos Eufy en ese sistema. “Eufy parece estar tratando de bloquear a las personas para que no vean. datos que envía su aplicación (web) en lugar de resolver el problema”, escribieron.

Wasabi también señaló que debido a la forma en que se configuran las URL remotas, solo se pueden probar 65,535 combinaciones, «lo que una computadora puede hacer con bastante rapidez»).

La detección de vulnerabilidades es la norma y no la excepción en el hogar inteligente y la seguridad del hogar. Ring, Nest , Samsung, la cámara para reuniones corporativas de Owl: si tiene una lente y se conecta a Wi-Fi, puede esperar que aparezca una falla en algún momento y que aparezca en los titulares. La mayoría de estas fallas tienen un alcance limitado, son difíciles de explotar para un atacante y, con una divulgación responsable y una respuesta rápida, en última instancia, harán que los dispositivos y sistemas sean más confiables.

En este caso, Eufy no parece una empresa típica de seguridad en la nube con una vulnerabilidad típica. Una página completa de promesas de privacidad , incluidos algunos movimientos válidos y especialmente buenos, quedó obsoleta en gran medida en una semana.

Puede argumentar que cualquiera que quiera ser notificado de los incidentes de la cámara en su teléfono debería esperar que se involucren algunos servidores en la nube. Puede convencer a Eufy de que los servidores en la nube a los que puede acceder con la URL correcta son solo un punto de referencia para las transmisiones que finalmente deben abandonar la red doméstica bajo la protección de la contraseña de la cuenta.

Pero debe ser especialmente doloroso para los clientes que compraron productos de Eufy con el pretexto de que sus imágenes se almacenan localmente, de forma segura y a diferencia de otras empresas de la nube, solo para ver a Eufy luchar para explicar su dependencia de la nube en uno de los comunicados de prensa técnicos más importantes.