I videocitofoni Eufy trasmetterebbero i filmati sul cloud, non criptati (aggiornato: Eufy risponde)
Non esattamente quanto promesso dall'azienda di proprietà di Anker
Negli ultimi anni c'è stata una vera e propria esplosione di telecamere di sicurezza, e videocitofoni nelle nostre case, e le aziende produttrici si sono sempre affannate ad assicurarci che i filmati sarebbero stati protetti e non accessibili a estranei.
Beh, forse non è proprio così. Eufy, il marchio di Anker che produce apprezzati prodotti di domotica come robot aspirapolvere e security cam, è stata colta a mentire riguardo all'affermazione sul sito che i dati siano privati, conservati localmente sul dispositivo e trasmessi solo all'utente.
Il ricercatore di sicurezza Paul Moore ha infatti scoperto sul modello di Eufy con doppia fotocamera, quello che utilizza due telecamere per visualizzare sia le persone che si avvicinano alla porta sia la soglia per identificare i pacchi.che i filmati non solo vanno nel cloud anche quando l'archiviazione cloud è disabilitata, ma rimangono visibili anche dopo che avrebbero dovuto essere cancellati.
Moore mostra come il videocitofono carichi dati di riconoscimento facciale dalla videocamera ai server di Eufy, con informazioni identificabili allegate, e come questi non siano stati effettivamente rimossi dai server di Eufy quando il filmato è stato eliminato dall'app.
Nel video sopra il ricercatore inoltra nota anche come Eufy abbia utilizzato i dati di riconoscimento facciale di due diverse fotocamere su due account completamente diversi per collegare i dati di ciascuno e sottolinea come Eufy non avvisi mai l'utente di quello che succede. Anzi, Eufy afferma l'esatto opposto.
Ancora più inquietante è stato scoprire che questi filmati non siano crittografati. Infatti utilizzando il lettore multimediale VLC si può accedere al feed della videocamera, senza alcuna autenticazione!
Questa falla sembra riguardare proprio l'intera infrastruttura di Eufy, e infatti il comportamento è stato confermato anche sulle telecamere di sicurezza EufyCam 3 associate a una Eufy HomeBase 3.
Moore afferma che Eufy gli ha inviato una email in cui ha dato spiegazioni poco convincenti sulla questione, minimizzandone la gravità, e che a seguito dei suoi Tweet la società ha crittografato le chiamate al server per coprire le sue tracce, oltre ad aver rimosso quelle che mostrano le immagini memorizzate (ma non il filmato).
Contattata a riguardo, Eufy non ha ancora commentato, anche se le prove sono abbastanza schiaccianti e, comprensibilmente, Moore è meno che soddisfatto da come la società stia gestendo la questione. Forse anche gli utenti.
Ricordate la vicenda di Eufy e delle sue telecamere di sicurezza che inviano dati non criptati sul cloud nonostante l'annuncio della compagnia di non farlo? Subito dopo la deflagrazione della notizia, la società aveva aggiornato in silenzio app, sito e politiche sulla privacy, incontrando il disappunto degli utenti.
Insomma, sembrava che la risposta fosse, ci avete beccato nel sacco, ma forse non avete letto bene le nostre politiche (che intanto abbiamo cambiato). Niente di ufficiale, spiegazioni o scuse.
Ora, a distanza di qualche settimana, la società di Anker ha risposto con un post ufficiale, e come da aspettarsi è un groviglio di spiegazioni e parziali ammissioni. Innanzitutto, Eufy spiega che stanno tentando qualcosa di mai visto prima e "unico" nella tecnologia delle telecamere di sicurezza, quindi ci sono delle sfide da affrontare.
Due sono i punti cardine del post, uno riguardante le policy sulla privacy e uno la struttura della piattaforma.
Il primo è che Eufy Security utilizza il cloud per inviare notifiche push mobili agli utenti. La società spiega come alcuni dei suoi processi richiedano l'uso del cloud come le notifiche push, che includono una piccola immagine di anteprima in miniatura. Eufy afferma che quando si verifica questa azione, i dati vengono crittografati end-to-end e vengono eliminati poco dopo, secondo gli "standard di settore".
Perfetto, ma non erano queste le regole iniziali, che la società ha cambiato in corsa senza avvisare o scusarsi.
Il secondo punto è che la funzionalità Live View di Eufy Security sul suo portale Web presenta un problema di sicurezza. Qui c'è una parziale ammissione, ma senza dettagli. Secondo Eufy, i dati degli utenti non sono mai stati esposto, e le falle di sicurezza sono solo speculative.
In ogni caso, il portale è stato modificato e gli utenti non possono più visualizzare i live streaming al di fuori dello stesso (cosa che prima si poteva fare da VLC).
Difficile farsi un'idea chiara di quello che è successo, perché Eufy non lo spiega, ma ha solo fatto delle correzioni una volta colta con le mani nel sacco. Ovviamente sta a voi se decidere di fidarvi o meno, o se ritenete le spiegazioni esaustive.