Eufy, la empresa detrás de una serie de cámaras de seguridad asequibles he sugerido anteriormente sobre las cosas caras, actualmente se encuentra en un poco de agua caliente por sus prácticas de seguridad. La compañía, propiedad de Anker, pretende que sus productos sean uno de los pocos dispositivos de seguridad que permiten almacenar medios localmente y no necesitan una cuenta en la nube para funcionar de manera eficiente. Pero durante la festividad de comer pavo, un destacado investigador de seguridad al otro lado del charco descubierto
Paul Moore transmitió el tema en un captura de pantalla tuiteada. Moore había comprado Eufy Doorbell Dual Camera por su promesa de una opción de almacenamiento local, solo para descubrir que las cámaras del timbre habían estado almacenando miniaturas de caras en la nube, junto con información identificable del usuario, a pesar de que Moore ni siquiera tenía una cuenta Eufy Cloud Storage. .
Después de que Moore tuiteó los hallazgos, otro usuario descubrió que los datos cargados en Eufy ni siquiera estaban encriptados. Cualquier clip subido podría reproducirse fácilmente en cualquier reproductor multimedia de escritorio, lo que Moore más tarde demostrado. Lo que es más: las miniaturas y los clips se vincularon a sus cámaras asociadas, lo que ofrece información identificable adicional para cualquier intruso digital que husmee.
Central de Android pudo recrear el problema por su cuenta con una EufyCam 3. Luego se acercó a Eufy, que le explicó al sitio por qué estaba surgiendo este problema. Si elige que se envíe una notificación de movimiento con una miniatura adjunta, Eufy carga temporalmente ese archivo en sus servidores de AWS para enviarlo. Moore había habilitado la opción manualmente, que es como finalmente se descubrió la falla de seguridad. De manera predeterminada, las notificaciones de la cámara de la aplicación Eufy son solo de texto y no tienen el mismo problema, ya que no hay nada que cargar.
Aunque Eufy dice que sus prácticas cumplen con los términos de uso del Servicio de notificaciones push de Apple y los estándares de Firebase Cloud Message de Google, desde entonces solucionó algunos de los problemas descubiertos por Moore. La compañía le dijo a Android Central que haría lo siguiente para comunicar a sus usuarios cómo almacena los datos:
1. Estamos revisando el idioma de la opción de notificaciones automáticas en la aplicación eufy Security para detallar claramente que las notificaciones automáticas con miniaturas requieren imágenes de vista previa que se almacenarán temporalmente en la nube.
2. Seremos más claros sobre el uso de la nube para las notificaciones automáticas en nuestros materiales de marketing orientados al consumidor.
Desafortunadamente, esta no es la primera vez que Eufy tiene un problema con la seguridad de sus cámaras. El año pasado, la empresa enfrentó informes similares de “acceso injustificado” a transmisiones aleatorias de cámaras, aunque la empresa solucionó rápidamente el problema una vez que se descubrió. Eufy no es ajeno a arreglar las cosas.