Anker ha confirmado que uno de sus productos de cámaras de seguridad tenía algunas fallas de seguridad graves que permitían a terceros no autorizados ver las transmisiones en vivo de la cámara. También confirmó que ha estado enviando notificaciones automáticas móviles con rostros de personas a través de la nube a los puntos finales de los usuarios. (se abre en una pestaña nueva).
El investigador de seguridad Paul Moore descubrió recientemente que se podía acceder a la transmisión de la cámara Eufy Doorbell Dual (propiedad de Anker) a través de un navegador web simplemente conociendo la URL correcta, sin necesidad de contraseña.
Los videos de cámara encriptados con AES-128 usan una clave simple que se puede descifrar con relativa facilidad, dijo Moore en ese momento, y agregó que la aplicación estaba cargando miniaturas en la nube, antes de enviarlas a las aplicaciones móviles de las personas como notificaciones, y que el la cámara estaba subiendo datos de reconocimiento facial a su nube de AWS sin cifrar.
Confirmación de informes de investigadores
Ahora, en una entrada de blog (se abre en una pestaña nueva) titulado «Para nuestros clientes y socios de eufy Security», la compañía ha abordado estas afirmaciones, confirmando algunas de ellas, pero negando otras.
En cuanto a acceder a la transmisión de la cámara, el investigador tenía razón. “La función de visualización en vivo de eufy Security en su función de portal web tiene una falla de seguridad”, dijo la compañía, antes de agregar que no se habían expuesto datos de usuario. “Las posibles fallas de seguridad discutidas en línea son especulativas”, se lee en el blog.
Aún así, la compañía ha realizado algunos cambios, ahora solo permite a las personas ver transmisiones en vivo a través de la web si inician sesión en el portal web eufy.com 3. “Los usuarios ya no pueden ver transmisiones en vivo (o compartir enlaces activos a esas transmisiones en vivo con otros) fuera del portal web seguro de eufy”, dijo.
Anker también confirmó el uso de la nube para enviar a los usuarios notificaciones móviles. Si bien dijo que la función «cumple con todos los estándares de la industria», hizo algunos ajustes: actualizó la aplicación eufy Security con una explicación más detallada de las diferentes opciones de notificación automática y revisó su Declaración de privacidad en eufy.com 3, que debería se publicará “a finales de esta semana”.
“En el futuro, esta será un área importante de mejora para nuestros equipos de marketing y comunicación y se agregará a nuestro sitio web, políticas de privacidad y otros materiales de marketing”, explica el blog.
Finalmente, abordó las preocupaciones de que la cámara está enviando datos de reconocimiento facial a la nube, afirmando brevemente «Esto no es cierto».
“Este es un diferenciador clave para eufy Security: todos los procesos biométricos y de reconocimiento facial se completan localmente en el dispositivo del usuario. Esta información nunca se procesa en la nube”.
La empresa ha sido criticada por los investigadores de seguridad y los medios de comunicación por su mala comunicación, algo que también pretendía abordar con esta actualización:
“En el futuro, tendremos que equilibrar mejor nuestra necesidad de obtener “todos los hechos” con nuestra obligación de mantener informados a nuestros clientes más rápidamente”, dijo.