Las cámaras Eufy suben contenido a la nube sin el conocimiento de los propietarios

Imagen destacada del artículo

AppleInsider puede ganar una comisión de afiliado sobre las compras realizadas a través de enlaces en nuestro sitio.

Un investigador de seguridad descubrió que las cámaras de seguridad Eufy de Anker envían imágenes e información del usuario a la nube sin el consentimiento de los propietarios, incluso si el usuario no paga una suscripción a la nube.

El consultor de seguridad Paul Moore descubrió que su Eufy Doorbell Dual estaba cargando datos en la nube, a pesar de que había desactivado la funcionalidad de la nube. Moore subió un video corto a YouTube para resaltar lo que había encontrado.

En el video, Moore muestra cómo incluso después de apagar Eufy HomeBase, el sitio web de Eufy aún puede acceder a una imagen que cargó a pesar de no registrarse en el servicio en la nube. Además, aún se puede acceder a la imagen incluso después de que Moore la elimine de la aplicación Eufy.

Curiosamente, no parece que Eufy esté cargando el video como video, sino como una serie de miniaturas.

Eufy también parece estar usando el reconocimiento facial en las cargas. Moore supone que Eufy podría vincular los datos de reconocimiento facial recopilados de múltiples cámaras y aplicaciones a los usuarios, sin el conocimiento o consentimiento del usuario.

Después de la divulgación, Eufy se puso en contacto con Moore para confirmar que carga eventos y miniaturas en Amazon Web Services. Sin embargo, la compañía dice que los datos no se pueden filtrar ya que la URL solo está disponible por un corto período de tiempo y requiere iniciar sesión en la cuenta.

Un problema final que señala Moore es que las transmisiones de la cámara Eufy se pueden ver en vivo usando una aplicación como VLC, aunque no proporcionó información sobre cómo es posible. Además, lo suficientemente preocupante, Moore señala que las transmisiones no están encriptadas y se puede acceder a ellas sin autenticación.

Desde su publicación inicial, Moore publicó que «había tenido una larga discusión con el departamento legal de Eufy». También afirmó que sería «apropiado en esta etapa darles tiempo para investigar y tomar las medidas apropiadas», y que no podía hacer más comentarios.

Esta no es la primera vez que Eufy ha sido atacado por fallas de seguridad. En particular, en mayo de 2021, los usuarios de las cámaras Eufy descubrieron que las cámaras propiedad de otros usuarios se podían ver en su aplicación en lugar de lo que esperaban ver en sus propias cámaras, y los que tenían acceso falso podían cambiar la configuración.

Deja un comentario