No se trata de vulnerabilidades, sino de lo que las empresas hicieron a continuación.
Cuando se trata de cámaras Wi-Fi asequibles o cámaras Wi-Fi sin nubes, Review Geek ha recomendado durante mucho tiempo dos empresas: Wyze y eufy. Hemos revisado productos de ambas compañías altamente y los hemos incluido en nuestras listas de «lo mejor de» varias veces. Pero a partir de hoy, ya no podemos recomendar ninguno.
Las cámaras Wi-Fi son, en el fondo, un dispositivo que requiere mucha confianza. Está instalando un dispositivo en su hogar que puede ver algunas de las áreas más personales y privadas de su vida y potencialmente transmitirlo al mundo. Incluso si los mantiene en las áreas más «públicas» de su hogar, como la sala de estar o la cocina, sigue siendo un aspecto mucho más personal que el que la mayoría de la gente tiene en su vida.
Entonces, antes de comprar una cámara, es bueno saber que la compañía practica buenos procedimientos de seguridad y divulgaciones adecuadas. Esto último es especialmente importante porque incluso con los mejores procedimientos de seguridad, ninguna empresa es perfecta, y es probable que todas ellas sufran algún tipo de vulnerabilidad tarde o temprano.
Y debido a malas revelaciones, en Review Geek estamos eliminando las cámaras Wyze y eufy de nuestras recomendaciones. Cada uno tenía una vulnerabilidad, y ambos no revelaron responsablemente esos problemas al público, aunque de diferentes maneras.
Wyze ocultó su pequeño problema
Pero en algunos casos raros, un enrutador doméstico puede impedir que Wyze se comunique para permitir la visualización remota. Para evitar eso, es posible habilitar el reenvío de puertos en el enrutador de su hogar para crear un «túnel» para que Wyze pueda comunicarse con usted cuando no esté en casa. Wyze ofreció instrucciones sobre cómo hacerlo, pero admitió que podría disminuir su seguridad en Internet.
La vulnerabilidad en cuestión requería que ambos habilitaran el reenvío de puertos Y tuvieran una tarjeta microSD insertada en la cámara para grabar video localmente. Este último es bastante común, pero el primero no tanto. Probablemente pocas personas tenían ambos componentes. Pero para aquellos que lo hicieron, era posible que alguien entrara en su cámara y viera cualquier video en la tarjeta SD. Una vez más, esto probablemente no se aplica a la mayoría de los propietarios de cámaras Wyze, pero sigue siendo una mala vulnerabilidad.
En 2019, los investigadores de seguridad de BitDefender notificaron a Wyze sobre la vulnerabilidad, y aquí es donde las cosas se ponen realmente feas. Wyze se sentó en esa información durante tres años. Eventualmente, Wyze parchó la mayoría de sus cámaras para solucionar el problema, pero aparentemente, la compañía no pudo hacer eso con la Wyze Cam original.
Sin embargo, en lugar de decirles a los propietarios que la compañía decidió dejar de vender la cámara (sí, vendió la cámara durante la mayor parte de este período) y anunció que ya no recibiría actualizaciones. Y debido a ese hecho, Wyze recomendó a cualquiera que tuviera la actualización de la cámara original y ofreció un pequeño descuento para hacerlo.
¿Ves el problema? Wyze no les dijo a las personas propietarias de la cámara que existía una vulnerabilidad que podría permitir a los piratas informáticos ver sus videos. Simplemente recomendó una actualización porque la cámara «ya no es compatible». Así no es como manejar esta situación. Solo después de que los investigadores de seguridad finalmente hicieran sonar el silbato, Wyze admitió el problema.
Eso es un abuso de confianza. ¿Cómo podemos estar seguros de que la próxima vez que Wyze encuentre una vulnerabilidad, admitirá el problema para que los consumidores puedan tomar una decisión informada? Solo por esa razón, ya no podemos recomendar las cámaras Wyze. Seguiremos recomendando otros productos de la empresa que no sean cámaras, como aspiradoras robotizadas. Pero estaremos observando de cerca y podríamos cambiar eso si es necesario.
Hemos estado buscando un buen reemplazo de Wyze, algo asequible, confiable y preferiblemente con una opción para omitir la nube. Y eufy cumplía los requisitos. Desafortunadamente, eufy siguió un camino similar, quizás peor.
eufy ni siquiera admitirá una gran vulnerabilidad
El primer reclamo contra eufy es bastante menor en comparación. A pesar de la afirmación de que ningún video se carga en los servidores, parece que algunos fragmentos terminaron en los servidores y sin cifrar. Están en forma de miniaturas en una característica opcional de la aplicación eufy. Puede optar por recibir notificaciones de imagen cuando alguien toca el timbre, por ejemplo, para ver quién está en la puerta en el panel de notificaciones.
Para que eso suceda, eufy carga la miniatura en los servidores de AWS (Amazon) para enviarla a su teléfono y a la interfaz web. Las miniaturas tienen cierta información de identificación que podría usarse potencialmente para identificar a las personas, con cierta dificultad. Eufy reconoció este informe y se comprometió a actualizar el idioma de la aplicación para dejar más claro que obtener vistas previas en miniatura requiere una carga temporal en la nube. Las imágenes finalmente se eliminan (aunque eufy no especificó qué tan pronto).
El otro descubrimiento, sin embargo, es mucho más preocupante, al igual que la respuesta de eufy. Múltiples investigadores de seguridad alegan que, a pesar de las afirmaciones de eufy de lo contrario, es completamente posible transmitir videos sin cifrar almacenados en cámaras eufy sin la aplicación, la interfaz web o el inicio de sesión. Los detalles son complicados, pero todo se reduce a algunas cosas: el mal actor necesitaría el número de serie de la cámara, una marca de tiempo UNIX (muy fácil de obtener) y una clave hexadecimal (relativamente fácil de usar por fuerza bruta). Usando esa información, es posible aplicar ingeniería inversa a una dirección que puede usar para acceder a la cámara desde cualquier lugar, usando otro software como VLC. En teoría, las cámaras también requieren un token para la validación, pero eso no parece funcionar y puede proporcionar lo que desee.
Los investigadores de seguridad no publican los métodos exactos por temor a enseñar a los malos a acceder a las cámaras de seguridad, pero alegan que con la información correcta anterior, podrían transmitir videos sin cifrar desde cámaras eufy a través de VLC. Eso no debería ser posible con las afirmaciones de eufy.
el borde preguntó a eufy rotundamente si los informes eran ciertos, y la empresa lo negó:
«Puedo confirmar que no es posible iniciar una transmisión y ver imágenes en vivo usando un reproductor de terceros como VLC», dijo Brett White, gerente senior de relaciones públicas de Anker (la empresa matriz de eufy), a The Verge por correo electrónico.
Entonces, tratar de ganar visibilidad, como propietario de un producto Eufy, esto es increíblemente decepcionante, pero aparentemente puede reproducir transmisiones de cámara a través de VLC. pic.twitter.com/cCYF7KgKvi
— Wasabi Burns [email protected] (@spiceywasabi) 25 de noviembre de 2022
Pero los Borde logró reproducir el reclamo y transmitió el video de las cámaras eufy a través de VLC. A pesar de la declaración de eufy de que no era posible. Cabe señalar que, en este momento, sería difícil replicar esto en la naturaleza, ya que necesita el número de serie de una cámara. Pero esa no es exactamente información protegida, la encontrará en las cajas de los productos. Y es potencialmente posible que los números de serie se recopilen y filtren, al igual que las direcciones de correo electrónico.
Ahora eso el borde replicado el reclamo, es de esperar que eufy cambie su tono. Pero ese no parece ser el caso. En una declaración dada a AndroidCentral, eufy continúa negando o ignorando el problema por completo incluso después de el bordereportando:
eufy Security no está de acuerdo con las acusaciones formuladas contra la empresa en relación con la seguridad de nuestros productos. Sin embargo, entendemos que los eventos recientes pueden haber causado preocupación a algunos usuarios. Con frecuencia revisamos y probamos nuestras funciones de seguridad y alentamos los comentarios de la industria de la seguridad en general para asegurarnos de que abordamos todas las vulnerabilidades de seguridad creíbles. Si se identifica una vulnerabilidad creíble, tomamos las medidas necesarias para corregirla. Además, cumplimos con todos los organismos reguladores correspondientes en los mercados donde se venden nuestros productos. Finalmente, alentamos a los usuarios a que se comuniquen con nuestro equipo de atención al cliente dedicado si tienen preguntas.
Y eso nos deja en un barco similar al de Wyze. Las cámaras de seguridad, especialmente las que coloca en su hogar, requieren confianza. Y eufy ha roto esa confianza. De alguna manera, eufy es actualmente peor que Wyze, ya que este último al menos admitió el problema cuando la información se hizo pública. Todavía es demasiado tarde, pero eufy está esperando aún más. Por lo tanto, no podemos, en buena conciencia, recomendar las cámaras de seguridad de ninguna de las compañías a nuestros lectores.
Por lo general, si dejamos de recomendar un producto de una empresa, como una cámara de seguridad, exponemos los motivos y lo que se necesitaría para recuperar nuestra recomendación. Eso sucedió con Ring: dejamos de recomendar las cámaras Ring, expusimos nuestras expectativas y, cuando la empresa las cumplió, comenzamos a recomendar Ring nuevamente. También nos gusta ofrecer alternativas que puede comprar en su lugar.
Pero en este caso, la situación es mucho más difícil. ¿Cómo Wyze y eufy recuperan la confianza después de negarse a admitir los problemas de inmediato? el borde va tan lejos como para decir que eufy mintió en sus respuestas, aunque se podría argumentar que es posible que el gerente de relaciones públicas haya estado equivocado pero creyó en su declaración. Aún así, eufy continúa negando las afirmaciones, a pesar de las pruebas presentadas por múltiples investigadores de seguridad y medios periodísticos. ¿Cómo regresas de eso?
Simplemente no lo sé, así que no creo que sea posible volver a recomendar ninguna de las dos compañías. Los vigilaremos e iremos desde allí. Por ahora, eliminaremos eufy y Wyze de nuestros artículos que recomiendan cámaras.
En cuanto a las alternativas, esa también es una situación complicada. El simple hecho es que ninguna otra compañía cumple con los requisitos de cámaras asequibles con opciones sin nubes que no requieren hardware adicional para almacenamiento local o notificaciones útiles. Algunos están cerca, como Blink o Arlo, pero requieren componentes adicionales que elevan el precio. O vienen empresas matrices que no estamos seguros de poder recomendar cómodamente.
Y, francamente, todas las empresas están a «un mal día» de distancia de la misma situación. Todo depende de cómo manejen la divulgación. Por ahora, con toda transparencia, solo puedo decirles que tengo cámaras Wyze y todavía están enchufadas. Conozco los riesgos y estoy dispuesto a asumirlos.
Pero eso no es lo mismo que recomendarlos a cualquier otra persona. Ninguna recomendación debe comenzar con “esta es una buena opción, pero primero debes saber algunas cosas”. Y eso sería un requisito. La única apuesta segura que puede hacer es no colocar cámaras de seguridad en su hogar.