As câmeras Eufy com “armazenamento local” podem transmitir de qualquer lugar sem criptografia.

Quando os pesquisadores de segurança descobriram que as câmeras supostamente sem nuvem da Eufy estavam carregando miniaturas de dados faciais para servidores em nuvem, a Eufy respondeu que era um mal-entendido, falhando em divulgar aos clientes um aspecto de seu sistema de notificação móvel.

Parece que agora há mais compreensão, e isso não é bom.

A Eufy não respondeu a outras reivindicações do pesquisador de segurança Paul Moore e outros, incluindo que seria possível transmitir da câmera da Eufy para o VLC Media Player se você tivesse o URL correto. Ontem à noite, The Verge, trabalhando com o pesquisador de segurança “wasabi” que primeiro twittou sobre o problema , confirmou que poderia acessar os fluxos de câmera do Eufy sem criptografia por meio da URL do servidor Eufy.

Isso torna as promessas de privacidade de Eufy de imagens que “nunca saem da segurança de sua casa”, criptografadas de ponta a ponta e enviadas apenas “diretamente para o seu telefone” altamente enganosas, se não totalmente duvidosas. Também contradiz o gerente sênior de relações públicas da Anker/Eufy, que disse ao The Verge que é “impossível” assistir às filmagens com uma ferramenta de terceiros como o VLC.

The Verge observa algumas ressalvas semelhantes às aplicadas às miniaturas hospedadas na nuvem. Basicamente, você geralmente precisará de um nome de usuário e senha para abrir e acessar o URL do stream sem criptografia. “Normalmente”, isto é, porque o URL da câmera parece ser um esquema relativamente simples, incluindo o número de série da câmera em Base64, um registro de data e hora Unix, um token que o The Verge diz não ser verificado pelos servidores da Eufy e um código hexadecimal de quatro dígitos valor. Os números de série do Eufy geralmente têm 16 dígitos, mas também são impressos em algumas caixas e podem ser obtidos em outro lugar.

Entramos em contato com Eufy e Wasabi e atualizaremos esta postagem com qualquer informação adicional. O pesquisador Paul Moore, que inicialmente levantou preocupações sobre o acesso à nuvem da Eufy, twittou em 28 de novembro que teve “uma longa discussão com o departamento jurídico [da Eufy]” e ​​não comentaria outras ações até que fornecesse uma atualização.

(Atualização 17:42 ET: Ars falou com Wasabi, que confirmou que pode visualizar os feeds da câmera Eufy de sistemas fora de sua rede sem autenticação ou outros dispositivos Eufy nesse sistema. “Eufy parece estar tentando apenas bloquear a visualização das pessoas. dados que seu aplicativo (web) envia em vez de realmente resolver o problema”, escreveram eles.

Wasabi também observou que, devido à forma como os URLs remotos são configurados, existem apenas 65.535 combinações que podem ser tentadas, “o que um computador pode fazer muito rapidamente”.)

A detecção de vulnerabilidade é a norma e não a exceção em casa inteligente e segurança doméstica. Ring, Nest , Samsung, câmera de reuniões corporativas da Owl – se ela tiver uma lente e se conectar ao Wi-Fi, você pode esperar que uma falha apareça em algum momento e manchetes com ela. A maioria dessas falhas é limitada em escopo, difícil para um invasor explorar e, com divulgação responsável e resposta rápida, elas acabarão por tornar os dispositivos e sistemas mais confiáveis.

Nesse caso, a Eufy não parece uma típica empresa de segurança em nuvem com uma vulnerabilidade típica. Uma página inteira de promessas de privacidade , incluindo algumas jogadas válidas e especialmente boas, ficou desatualizada em uma semana.

Você pode argumentar que qualquer pessoa que queira ser notificada sobre incidentes de câmera em seu telefone deve esperar que alguns servidores de nuvem estejam envolvidos. Você pode convencer Eufy de que os servidores em nuvem que você pode acessar com o URL correto são apenas um ponto de passagem para fluxos que devem eventualmente deixar a rede doméstica sob a proteção da senha da conta.

Mas deve ser especialmente doloroso para os clientes que compraram produtos Eufy sob o pretexto de que suas imagens são armazenadas localmente, com segurança e ao contrário de outras empresas de nuvem, apenas para ver a Eufy lutar para explicar sua dependência da nuvem para um dos maiores comunicados técnicos.