As populares câmeras de segurança da marca Eufy da Anker parecem estar enviando alguns dados para a nuvem, mesmo quando o armazenamento em nuvem está desativado e as configurações de armazenamento somente local estão ativadas. A informação vem do consultor de segurança Paul Moore, que na semana passada publicou um vídeo descrevendo o problema.
De acordo com Moore, ele comprou um Eufy Doorbell Dual, que deveria ser um dispositivo que armazenava a gravação de vídeo no dispositivo. Ele descobriu que a Eufy está carregando imagens em miniatura de rostos e informações do usuário para seu serviço de nuvem quando a funcionalidade de nuvem não está habilitada.
Moore demonstra o upload não autorizado na nuvem, permitindo que sua câmera capture sua imagem e desligando o Eufy HomeBase. O site ainda pode acessar o conteúdo por meio da integração na nuvem, embora não tenha se inscrito no serviço de nuvem, e permanece acessível mesmo quando a filmagem é removida do aplicativo Eufy. É importante observar que o Eufy não parece estar carregando automaticamente o streaming de vídeo completo para a nuvem, mas capturando o vídeo como miniaturas.
As miniaturas são usadas no aplicativo Eufy para ativar o streaming de vídeo da estação base Eufy, permitindo que os usuários Eufy assistam seus vídeos quando estiverem fora de casa, bem como para enviar notificações avançadas. O problema é que as miniaturas são enviadas para a nuvem automaticamente, mesmo quando a funcionalidade da nuvem não está ativa, e o Eufy também parece estar usando reconhecimento facial nos uploads. Alguns usuários tiveram problemas com os uploads não autorizados na nuvem porque o Eufy anuncia um serviço apenas local e é popular entre aqueles que desejam uma solução de câmera mais privada. “Sem nuvens ou custos”, diz o site da Eufy.
Moore sugere que o Eufy também é capaz de vincular dados de reconhecimento facial coletados de duas câmeras separadas e dois aplicativos separados aos usuários, tudo sem que os proprietários das câmeras percebam.
Outros usuários do Eufy responderam ao tweet de Moore e viram a mesma coisa acontecendo, e também há um tópico dedicado no Reddit sobre o assunto. Moore testou a câmera da campainha Eufy, mas também parece ser assim que outras câmeras Eufy funcionam. Como demonstra Moore, as imagens podem ser acessadas com URLs simples após o login, o que é um risco de segurança potencial para os envolvidos. Eufy removeu a chamada de fundo que revela as imagens armazenadas após o tweet de Moore, mas não removeu a filmagem.
Moore recebeu uma resposta da Eufy na qual a Eufy confirmou que está enviando listas de eventos e miniaturas para a AWS, mas disse que os dados não podem “vazar para o público” porque o URL é restrito, tem tempo limitado e requer login na conta.
Há também outro problema que Moore destacou, sugerindo que os streams da câmera Eufy podem ser assistidos ao vivo usando um aplicativo como o VLC, mas poucas informações sobre a exploração estão disponíveis no momento. Moore disse que o conteúdo não criptografado da câmera Eufy pode ser acessado sem autenticação, o que é alarmante para os usuários da Eufy.
Entramos em contato com Anker para comentários adicionais sobre o problema do Eufy e atualizaremos este artigo se recebermos uma resposta. Moore disse que entrou em contato com o departamento jurídico da Eufy e dará a eles tempo para “investigar e tomar as medidas apropriadas” antes de fazer mais comentários.
(Obrigado, Derek!)