Um pesquisador de segurança alegou que as câmeras de segurança Eufy estão enviando fotos contendo dados de identificação pessoal para seus servidores, violando não apenas sua própria proposta de venda de chave, mas também o General Da UE ta Regulamento de Proteção (GDPR).
De acordo com um relatório de Central Android (abre em uma nova aba), o pesquisador de segurança Paul Moore descobriu que a câmera Eufy Doorbell Dual carrega dados de reconhecimento facial para a nuvem AWS da empresa, sem criptografia.
A empresa, por outro lado, diz estar totalmente em conformidade com o regulamento de proteção de dados e que os dados coletados são usados apenas para notificações.
Em um série de tweets
Moore também disse que o feed de vídeo pode ser acessado por meio de um navegador da Web, simplesmente conhecendo o URL correto, sem a necessidade de senhas. Os vídeos da câmera criptografados com AES 128 estão usando uma chave simples que pode ser quebrada com relativa facilidade, disse ele.
Desde a divulgação da notícia, a empresa afirma ter corrigido “alguns dos problemas”, mas não está sendo mais transparente do que isso, portanto, verificar se o problema está em andamento é impossível.
“Infelizmente (ou felizmente, não importa como você olhe), Eufy já removeu a chamada de rede e criptografou fortemente outras para torná-la quase impossível de detectar; então meus PoCs anteriores [provas de exploração de conceito] não funcionam mais. Você pode chamar o endpoint específico manualmente usando as cargas úteis mostradas, que ainda podem retornar um resultado”, acrescentou Moore posteriormente.
A Eufy, por outro lado, disse à publicação que seus produtos estão “em total conformidade com os padrões do Regulamento Geral de Proteção de Dados (GDPR), incluindo as certificações ISO 27701/27001 e ETSI 303645”. O problema parece ser quando um usuário decide que deseja miniaturas com suas notificações.
As notificações da câmera são somente texto por padrão, o que significa que nenhuma miniatura é carregada, a menos que, como foi o caso do Moore, os usuários ativam o recurso manualmente.
Eufy também disse que as miniaturas são “temporariamente” carregadas em seus servidores, antes de serem enviadas como uma notificação. Além disso, a empresa disse que suas práticas de notificação push estão “em conformidade com o serviço Apple Push Notification e os padrões Firebase Cloud Messaging” e exclusão automática. Não disse quando. As miniaturas também utilizam criptografia do lado do servidor, acrescentou a empresa, dizendo que não devem ser visíveis para usuários não autorizados.
“Embora nosso aplicativo Eufy Security permita que os usuários escolham entre notificações push baseadas em texto ou em miniatura, não ficou claro que a escolha de notificações baseadas em miniatura exigiria visualização imagens sejam brevemente hospedadas na nuvem. Essa falta de comunicação foi um descuido de nossa parte e pedimos sinceras desculpas por nosso erro”, concluiu a empresa.
Daqui para frente, A Eufy afirma que mudará o idioma da opção de notificação push, bem como o uso da nuvem para notificações push.
- Confira os melhores aplicativos de privacidade para Android (abre em uma nova aba)
Sead é um jornalista freelance experiente baseado em Sarajevo, Bósnia e Herzegovina. Ele escreve sobre TI (nuvem, IoT, 5G, VPN) e segurança cibernética (ransomware, violação de dados, leis e regulamentos). Em sua carreira, que se estende por mais de uma década, ele escreveu para vários meios de comunicação, incluindo a Al Jazeera Balkans. Ele também realizou vários módulos sobre redação de conteúdo para a Represent Communications.