MiReal.me MiReal.me – Tu blog tecnológico con la más actualizada información
Lo que necesitas saber
- El investigador de seguridad Paul Moore descubrió varias fallas de seguridad en las cámaras de Eufy.
- Las imágenes de usuario y los datos de reconocimiento facial se envían a la nube sin el consentimiento del usuario, y presumiblemente se puede acceder a las transmisiones de cámaras en vivo sin ninguna autenticación.
- Moore dice que algunos de los problemas se han solucionado desde entonces, pero no puede verificar que los datos de la nube se eliminen correctamente. Moore, residente en el Reino Unido, ha emprendido acciones legales contra Eufy debido a una posible violación del RGPD.
- Eufy Support ha confirmado algunos de los problemas y ha publicado una declaración oficial sobre el asunto que indica que una actualización de la aplicación ofrecerá un lenguaje más claro.
Actualización 29 de noviembre a las 11:32 a. m.: Se agregó la respuesta de Paul Moore a Android Central.
Actualización 29 de noviembre a las 15:30: Eufy ha publicado una declaración que explica lo que está sucediendo que se puede ver a continuación en la sección de explicación de Eufy.
Según la declaración de Eufy a continuación, muchos de los problemas que encontró el Sr. Moore no aparecerán hasta que los usuarios habiliten las miniaturas para las notificaciones de la cámara. Son estas miniaturas las que se envían a la nube con fines de notificación automática. No se envía material de archivo real a la nube de AWS de Eufy.
Durante años, Eufy Security se ha enorgullecido de su mantra de proteger la privacidad del usuario, principalmente almacenando videos y otros datos relevantes localmente. Pero un investigador de seguridad cuestiona eso, citando evidencia que muestra que algunas cámaras Eufy están cargando fotos, imágenes de reconocimiento facial y otros datos privados a sus servidores en la nube sin el consentimiento del usuario.
A serie de tuits (se abre en una pestaña nueva) del consultor de seguridad de la información Paul Moore parece demostrar una cámara Eufy Doorbell Dual que carga datos de reconocimiento facial en la nube AWS de Eufy sin encriptación. Moore muestra que estos datos se almacenan junto con un nombre de usuario específico y otra información identificable. Además de eso, Moore dice que estos datos se retienen en los servidores de Amazon de Eufy incluso cuando el metraje se ha “borrado” de la aplicación Eufy.
Además, Moore argumenta que el video de la cámara se puede transmitir a través de un navegador web ingresando la URL correcta y que no se requiere información de autenticación para ver dicho video. Moore muestra evidencia de que el video de las cámaras Eufy encriptadas con encriptación AES 128 solo se reproduce con una clave simple en lugar de una cadena aleatoria apropiada. En el ejemplo, los videos de Moore se almacenaron con “ZXSecurity17Cam@” como clave de cifrado, algo que cualquier persona que realmente quisiera su material podría descifrar fácilmente.
Moore se ha puesto en contacto con el soporte de Eufy y confirman la evidencia, citando que estas cargas son para ayudar con las notificaciones y otros datos. El soporte no parece haber dado una razón convincente por la cual las miniaturas también tienen adjuntos datos de usuario identificables, lo que podría abrir un gran agujero de seguridad para que otros encuentren sus datos con las herramientas adecuadas.
Moore dice que Eufy ya solucionó algunos de los problemas, lo que hace imposible verificar el estado de los datos almacenados en la nube, y emitió la siguiente declaración:
“Desafortunadamente (o afortunadamente, se mire como se mire), Eufy ya eliminó la llamada de red y cifró fuertemente las demás para que sea casi imposible de detectar; por lo tanto, mis PoC anteriores ya no funcionan. Es posible que pueda llamar al punto final especificado manualmente utilizando las cargas útiles que se muestran, que aún pueden arrojar un resultado”.
Android Central está en conversaciones con Eufy y Paul Moore y continuará actualizando este artículo a medida que evolucione la situación. Lea a continuación para ver la declaración oficial y la explicación de Eufy, y más adelante si desea obtener más información sobre lo que hizo Moore en su investigación sobre los posibles problemas de seguridad de Eufy.
La explicación de Eufy
Eufy le dijo a Android Central que sus “productos, servicios y procesos cumplen totalmente con los estándares del Reglamento General de Protección de Datos (GDPR), incluidas las certificaciones ISO 27701/27001 y ETSI 303645”.
La certificación GDPR requiere que las empresas proporcionen pruebas de seguridad y manejo de datos a la UE. Adquirir una certificación no es un sello de goma y requiere la aprobación del organismo gubernamental correspondiente y está regulado por el ICO.
De forma predeterminada, las notificaciones de la cámara están configuradas en texto sin formato y no generan ni cargan miniaturas de ningún tipo. En el caso del Sr. Moore, habilitó la opción de mostrar miniaturas junto con la notificación. Así es como se ve en la aplicación.
Eufy dice que estas miniaturas se cargan temporalmente en sus servidores de AWS y luego se incluyen en una notificación en el dispositivo de un usuario. Esta lógica ocurre porque las notificaciones se manejan en el lado del servidor y, normalmente, una notificación de solo texto de los servidores de Eufy no incluiría ningún tipo de datos de imagen a menos que se especifique lo contrario.
Eufy dice que sus prácticas de notificaciones automáticas “cumplen con los estándares del Servicio de notificaciones automáticas de Apple y Firebase Cloud Messaging” y se eliminan automáticamente, pero no especificó un marco de tiempo en el que eso debería suceder.
Además, Eufy dice que “las miniaturas usan encriptación del lado del servidor” y no deberían ser visibles para los usuarios que no hayan iniciado sesión. se ha autenticado previamente con.
Eufy afirma que “aunque nuestra aplicación eufy Security permite a los usuarios elegir entre notificaciones automáticas basadas en texto o en miniaturas, no quedó claro que elegir notificaciones basadas en miniaturas requeriría que las imágenes en miniatura se alojen brevemente en la nube. Esa comunicación deficiente fue un descuido de nuestra parte y nos disculpamos sinceramente por nuestro error”.
Eufy dice que está realizando los siguientes cambios para mejorar la comunicación sobre este tema:
- Estamos revisando el idioma de las opciones de notificaciones automáticas en la aplicación eufy Security para especificar claramente que las notificaciones automáticas en miniatura requieren imágenes en miniatura que se almacenarán temporalmente en la nube.
- Seremos más claros sobre el uso de la nube para las notificaciones automáticas en nuestros materiales de marketing orientados al consumidor.
Le envié a Eufy varias preguntas de seguimiento solicitando problemas adicionales que se encuentran en la prueba de concepto de Paul Moore a continuación, y actualizaré el artículo una vez que se respondan.
La prueba de concepto de Paul Moore
Eufy vende dos tipos principales de cámaras: cámaras que se conectan directamente a la red Wi-Fi de su hogar y cámaras que se conectan a Eufy HomeBase solo a través de una conexión inalámbrica local.
Eufy HomeBases está diseñado para almacenar imágenes de la cámara Eufy localmente a través de un disco duro dentro de la unidad. Sin embargo, incluso si tiene una HomeBase en su hogar, la compra de una SoloCam o Doorbell que se conecte directamente a Wi-Fi almacenará sus datos de video en la propia cámara Eufy en lugar de en la HomeBase.
En el caso de Paul Moore, estaba usando un Eufy Doorbell Dual que se conecta directamente a Wi-Fi y no pasa por HomeBase. Aquí está su primer video al respecto, publicado el 23 de noviembre de 2022.
En el video, Moore demuestra cómo Eufy carga tanto la imagen de la cámara capturada como la imagen de reconocimiento facial. También muestra que la imagen de reconocimiento facial se almacena junto con varios bits de metadatos, dos de los cuales incluyen su nombre de usuario (ID_propietario), otro ID de usuario y el ID guardado y almacenado para su rostro (AI_Face_ID).
Lo que empeora las cosas es que Moore usa otra cámara para activar un evento de movimiento y luego examina los datos transferidos a los servidores de Eufy en la nube de AWS. Moore dice que usó una cámara diferente, un nombre de usuario diferente e incluso una HomeBase diferente para “almacenar” las imágenes localmente, pero Eufy pudo etiquetar y vincular la identificación facial a su imagen.
Esto muestra que Eufy almacena estos datos de reconocimiento facial en su nube y, además, permite que las cámaras identifiquen fácilmente los rostros almacenados, incluso si no son propiedad de las personas que aparecen en esas imágenes. Para respaldar esa afirmación, Moore grabó otro video de sí mismo eliminando los clips y demostrando que las imágenes aún se encuentran en los servidores AWS de Eufy.
Además, Moore dice que pudo transmitir imágenes en vivo desde la cámara de su timbre sin ninguna autenticación, pero no proporcionó una prueba de concepto pública debido al posible uso indebido de la táctica si se hiciera pública. Informó a Eufy directamente y desde entonces ha tomado medidas legales para garantizar que Eufy cumpla.
Por el momento, esto se ve muy mal para Eufy. La empresa, durante años, solo se retrasó al mantener los datos de los usuarios locales y nunca subirlos a la nube. mientras eufi además tiene servicios en la nube, no se deben cargar datos en la nube a menos que un usuario permita específicamente la práctica.
Además, almacenar identificaciones de usuario y otros datos de identificación personal junto a una imagen del rostro de una persona es realmente una brecha de seguridad masiva. Si bien desde entonces Eufy ha corregido la capacidad de encontrar fácilmente URL y otros datos enviados a la nube, actualmente no hay forma de verificar si Eufy continúa almacenando estos datos en la nube sin el consentimiento del usuario.
