o que você precisa saber
- O pesquisador de segurança Paul Moore descobriu várias falhas de segurança nas câmeras da Eufy.
- As imagens do usuário e os dados de reconhecimento facial são enviados para a nuvem sem o consentimento do usuário, e os feeds da câmera ao vivo podem supostamente ser acessados sem qualquer autenticação.
- Moore diz que alguns dos problemas já foram corrigidos, mas ele não pode verificar se os dados da nuvem foram removidos corretamente. Moore, residente no Reino Unido, entrou com uma ação legal contra a Eufy devido a uma possível violação do GDPR.
- O suporte da Eufy confirmou alguns dos problemas e emitiu uma declaração oficial sobre o assunto, dizendo que uma atualização do aplicativo oferecerá uma linguagem esclarecida.
Atualização em 29 de novembro às 11h32: Adicionada a resposta de Paul Moore ao Android Central.
Atualização em 29 de novembro às 15h30: A Eufy emitiu uma declaração explicando o que está acontecendo, que pode ser visto abaixo na seção de explicação da Eufy.
De acordo com a declaração de Eufy abaixo, muitos dos problemas encontrados por Moore não aparecerão, desde que os usuários não habilitem miniaturas para notificações de câmera. São essas miniaturas que são enviadas para a nuvem para fins de notificação por push. Nenhum fluxo de vídeo real é enviado para a nuvem AWS da Eufy.
Durante anos, a Eufy Security manteve-se fiel ao seu mantra de proteger a privacidade do usuário, principalmente armazenando vídeos e outros dados relevantes localmente. Mas um pesquisador de segurança está questionando isso, citando evidências mostrando que algumas câmeras Eufy estão enviando fotos, imagens de reconhecimento facial e outros dados privados para seus servidores em nuvem sem o consentimento do usuário.
UMA série de tweets (abre em uma nova aba) pelo consultor de segurança da informação Paul Moore parece mostrar uma câmera Eufy Doorbell Dual carregando dados de reconhecimento facial para o Eufy AWS Cloud sem criptografia. Moore mostra que esses dados são armazenados junto com um nome de usuário específico e outras informações identificáveis. Além disso, Moore diz que esses dados são salvos nos servidores Amazon da Eufy, mesmo quando a filmagem foi “excluída” do aplicativo Eufy.
Além disso, Moore alega que os vídeos das câmeras podem ser transmitidos por meio de um navegador da Web inserindo o URL correto e que as informações de autenticação não são necessárias para visualizar esses vídeos. Moore mostra evidências de que os vídeos das câmeras Eufy que são criptografados com criptografia AES 128 são feitos apenas com uma chave simples em vez de uma sequência aleatória adequada. No exemplo, os vídeos de Moore foram armazenados com “[email protected]” como chave de criptografia, algo que qualquer um que realmente desejasse sua filmagem poderia quebrar facilmente.
Moore entrou em contato com o suporte da Eufy e eles corroboram as evidências, citando que esses uploads ajudam com notificações e outros dados. O suporte não parece ter fornecido um motivo válido para que os dados identificáveis do usuário também sejam anexados às miniaturas, o que pode abrir uma enorme brecha de segurança para que outras pessoas encontrem seus dados com as ferramentas certas.
Moore diz que a Eufy já corrigiu alguns dos problemas, impossibilitando a verificação do status dos dados armazenados na nuvem, e emitiu a seguinte declaração:
“Infelizmente (ou felizmente, no entanto, você olha para isso), eufy já removeu a chamada da rede e criptografou fortemente outras pessoas para torná-la quase impossível de detectar, então meus PoCs anteriores não funcionam mais. Talvez eu consiga chamar o endpoint manualmente usando as cargas retornadas, que ainda podem retornar um resultado.”
O Android Central está em discussão com Eufy e Paul Moore e continuará atualizando este artigo à medida que a situação se desenvolver. Leia abaixo a declaração e explicação oficial de Eufy e mais abaixo para obter mais informações sobre o que Moore fez em sua investigação sobre os possíveis problemas de segurança de Eufy.
explicação de Eufy
A Eufy disse ao Android Central que seus “produtos, serviços e processos são totalmente compatíveis com os padrões do Regulamento Geral de Proteção de Dados (GDPR), incluindo as certificações ISO 27701/27001 e ETSI 303645”.
A certificação GDPR exige que as empresas forneçam prova de segurança e gerenciamento de dados para a UE. Adquirir uma certificação não é um carimbo de borracha e precisa da aprovação de um órgão governamental adequado e é regulamentado pela ICO.
Por padrão, as notificações da câmera são definidas apenas como texto e não geram ou carregam uma miniatura de qualquer tipo. No caso do Sr. Moore, ele habilitou a opção de mostrar miniaturas junto com a notificação. Isso é o que parece no aplicativo.
Eufy diz que essas miniaturas são carregadas temporariamente em seus servidores AWS e, em seguida, incluídas na notificação para o dispositivo de um usuário. Essa lógica é verdadeira, pois as notificações são tratadas no lado do servidor e, normalmente, uma notificação somente de texto dos servidores eufy não incluiria nenhum dado de imagem, a menos que especificado de outra forma.
A Eufy diz que suas práticas de notificação por push “cumprem os padrões do serviço de notificação por push da Apple e do Firebase Cloud Messaging” e são removidas automaticamente, mas não especificou um período de tempo em que isso deve ocorrer.
Além disso, eufy diz que “miniaturas usam criptografia do lado do servidor” e não devem ser visíveis para usuários não logados. A prova de conceito do Sr. Moore abaixo usou a mesma sessão anônima do navegador da web para recuperar as miniaturas, então ele usou o mesmo cache da web. com o qual foi previamente autenticado.
eufy diz que “embora nosso aplicativo eufy Security permita que os usuários escolham entre notificações push baseadas em texto ou miniaturas, não ficou claro que a escolha de notificações baseadas em miniaturas exigiria que as imagens de visualização fossem brevemente hospedadas na nuvem. Essa falta de comunicação foi um descuido de nossa parte e pedimos sinceras desculpas por nosso erro.”
A Eufy diz que está fazendo as seguintes alterações para melhorar a comunicação sobre esse assunto:
- Estamos revisando o idioma da opção de notificações push no aplicativo eufy Security para detalhar claramente que as notificações push com miniaturas exigem imagens de visualização que serão armazenadas temporariamente na nuvem.
- Seremos mais claros sobre o uso da nuvem para notificações push em nossos materiais de marketing voltados para o consumidor.
Enviei a Eufy várias perguntas de acompanhamento sobre outros problemas encontrados na prova de conceito de Paul Moore abaixo e atualizarei o artigo assim que forem respondidas.
A prova de conceito de Paul Moore
A Eufy vende dois tipos principais de câmeras: câmeras que se conectam diretamente à sua rede Wi-Fi doméstica e câmeras que se conectam apenas ao Eufy HomeBase por meio de uma conexão sem fio local.
O eufy HomeBase foi projetado para armazenar imagens da câmera eufy localmente por meio de um disco rígido dentro da unidade. Mas, mesmo se você tiver um HomeBase em sua casa, comprar um SoloCam ou campainha que se conecta diretamente ao Wi-Fi armazenará seus dados de vídeo na própria câmera Eufy em vez do HomeBase.
No caso de Paul Moore, ele estava usando um Eufy Doorbell Dual que se conecta diretamente ao Wi-Fi e ignora o HomeBase. Aqui está seu primeiro vídeo sobre o assunto, postado em 23 de novembro de 2022.
No vídeo, Moore mostra como Eufy está carregando a imagem da câmera capturada e a imagem de reconhecimento facial. Além disso, mostra que a imagem de reconhecimento facial é armazenada junto com vários bits de metadados, dois dos quais incluem seu nome de usuário (Owner_ID), outro ID de usuário e o ID salvo e armazenado para seu rosto (AI_Face_ID).
O que piora as coisas é que Moore usa outra câmera para acionar um evento de movimento e, em seguida, examina os dados transferidos para os servidores da Eufy na nuvem AWS. Moore diz que usou uma câmera diferente, um nome de usuário diferente e até mesmo um HomeBase diferente para “armazenar” as imagens localmente, mas Eufy conseguiu marcar e vincular o ID facial à sua imagem.
Isso prova que o Eufy está armazenando esses dados de reconhecimento facial em sua nuvem e, além disso, permite que as câmeras identifiquem facilmente os rostos armazenados, mesmo que não pertençam às pessoas nessas imagens. Para apoiar essa afirmação, Moore gravou outro vídeo dele excluindo os clipes e provando que a filmagem ainda está localizada nos servidores AWS da Eufy.
Além disso, Moore diz que conseguiu transmitir imagens ao vivo de sua câmera de campainha sem qualquer autenticação, mas não forneceu uma prova de conceito pública devido ao potencial uso indevido da tática se fosse tornada pública. Ele notificou a Eufy diretamente e, desde então, tomou medidas legais para garantir que a Eufy cumpra.
No momento, isso parece muito ruim para Eufy. A empresa, por anos, manteve apenas os dados do usuário locais e nunca os carregou para a nuvem. enquanto eufi O que mais tem serviços de nuvem, nenhum dado deve ser carregado na nuvem, a menos que um usuário permita especificamente tal prática.
Além disso, armazenar IDs de usuário e outros dados de identificação pessoal junto com uma imagem do rosto de uma pessoa é, de fato, uma falha de segurança maciça. Embora o Eufy tenha corrigido a capacidade de encontrar facilmente URLs e outros dados enviados para a nuvem, atualmente não há como verificar se o Eufy continua ou não armazenando esses dados na nuvem sem o consentimento do usuário.
