Se disponi di una telecamera di sicurezza Eufy, queste telecamere sicure potrebbero non essere così sicure come sembrano.
Se sei un grande appassionato di sicurezza, potresti aver investito nella sicurezza domestica attraverso una fotocamera Eufy. Queste fotocamere, sebbene costose, sono speciali in quanto promettono di non archiviare mai filmati sul telecomando, server basati su cloud, che operano su base peer-to-peer a meno che tu non voglia pagare per l'archiviazione nel cloud separatamente. Tuttavia, Paul Moore, un ricercatore di sicurezza, ha scoperto che miniature e volti vengono archiviati sui server Eufy. Eufy è una società di proprietà di Anker.
Moore ha mostrato in un video su YouTube come, anche quando il suo Eufy Homebase 2 è spento, può visualizzare una miniatura della registrazione della telecamera archiviata sui server di Eufy. Allo stesso modo si possono vedere anche i volti identificati nel filmato, anch'essi archiviati sui server AWS controllati da Eufy. Sembra che queste immagini vengano cancellate dopo 24 ore, ma resta il fatto che i consumatori come Moore si sentono fuorviati. Dato che Eufy afferma spesso che la privacy è il cuore del suo funzionamento, è comprensibile il motivo per cui Moore (e altri consumatori) si sentano così.
La citazione seguente è tratta da una descrizione del prodotto Eufy su Amazon.
La tua privacy è qualcosa a cui teniamo tanto quanto te. Per iniziare, stiamo facendo ogni passo immaginabile per garantire la riservatezza dei tuoi dati, insieme a te. Che si tratti del tuo neonato che piange per la mamma o della danza della vittoria dopo una partita, il filmato registrato rimarrà privato. Memorizzato localmente. Con crittografia di livello militare. E trasmesso a te, e solo a te. Questo è solo l'inizio del nostro impegno per proteggere te, la tua famiglia e la tua privacy.
Moore ha anche dimostrato come queste immagini vengono conservate su questi server controllati da Eufy anche dopo che il filmato è stato cancellato. Ancora più allarmante è che abbia parlato di come fosse possibile visualizzare un flusso RTMP (Real-Time Messaging Protocol) dalla sua fotocamera senza alcuna autenticazione. Non ha chiarito se ciò fosse possibile da una rete esterna o se qualcuno dovesse trovarsi sulla stessa rete della telecamera per accedere a questo flusso. Certo, non ha mostrato prove di questa funzionalità, anche se ha detto che ciò era dovuto al potenziale pericolo che tale vulnerabilità venisse dimostrata pubblicamente.
A peggiorare le cose, Moore ha affermato che i video sono stati archiviati crittografati utilizzando una chiave di sicurezza codificata di "ZXSecurity17Cam@", che li ha verificati e decifrati localmente. ho trovato un repository GitHub non ufficiale per una libreria Python del 2019 per i dispositivi Eufy che fa riferimento alla stessa chiave di crittografia, suggerendo che questo è il caso di più fotocamere Eufy disponibili.
Eufy risponde
Moore aveva precedentemente contattato Eufy e condiviso la sua risposta su Twitter. Nell'e-mail, la società ha confermato che stava archiviando queste immagini sui suoi server e ha sottolineato la scadenza di 24 ore. La società ha affermato che avrebbe aggiunto ulteriore crittografia alle sue API e ha offerto a Moore la possibilità di testare il suo dispositivo Homebase 3.
Per quanto riguarda il significato di tutto ciò, è difficile dare un giudizio complessivo sulla situazione finché non si arriva ad una conclusione. Abbiamo contattato entrambe le parti della conversazione e finora non abbiamo ancora ricevuto risposta. Non ci aspettiamo necessariamente nemmeno una risposta, poiché Moore ha affermato di aver parlato con l'ufficio legale dell'azienda e di non rilasciare ulteriori commenti al momento.
Cosa fare con i tuoi prodotti Eufy
Se disponi di prodotti Eufy e sei preoccupato dal punto di vista della privacy, potrebbe valere la pena scollegarli e aspettare e vedere cosa succede dopo. Non è chiaro cosa stia facendo esattamente Eufy e, senza ulteriori commenti da parte delle persone coinvolte, è difficile dire fino a che punto i consumatori debbano preoccuparsi. Sembra chiaro che molti consumatori si sentano fuorviati, ma al momento non è chiaro fino a che punto.
Aggiorneremo sicuramente man mano che questo caso si trascina e ci aspettiamo che Eufy rilasci una dichiarazione nel prossimo futuro nel tentativo di dissipare le preoccupazioni che i consumatori potrebbero avere.